Microsoft ujawnił nową technikę cyberszpiegostwa, stosowaną przez powiązaną z FSB grupę Turla (znaną również jako Secret Blizzard, Venomous Bear, WRAITH czy ATG26). Od 2024 r. jej członkowie wykorzystują kontrolę nad infrastrukturą rosyjskich dostawców usług internetowych (ISP), by infekować komputery pracowników zagranicznych ambasad w Moskwie – donoszą eksperci Microsoft Threat Intelligence.
Sposób działania
Grupa stosuje technikę Adversary-in-the-Middle (AiTM) na poziomie ISP/telekom łączącego użytkowników z siecią. Ofiary są przekierowywane na fałszywy captive portal z wykorzystaniem mechanizmu Windows Test Connectivity Status Indicator, odwołującego się do msftconnecttest.com. W ataku zamiast strony Microsoft ruch trafia na domenę kontrolowaną przez Turla, gdzie wyświetlany jest komunikat o rzekomym problemie z certyfikatem TLS/SSL. W wyniku kliknięcia użytkownik instaluje złośliwe oprogramowanie ApolloShadow (podszywające się pod aktualizację certyfikatów Kaspersky). Malware wyłącza szyfrowanie w przeglądarce, co pozwala na przechwycenie wrażliwych danych w postaci odblokowanego ruchu plaintext – w tym loginu i hasła.
Po uzyskaniu podwyższonych uprawnień dzięki przekonującemu komunikatowi UAC malware zmienia status sieci na „biurową”, modyfikuje reguły zapory i włącza udostępnianie plików. Następnie tworzy lokalne konto administracyjne UpdatusUser z niezmienialnym hasłem, co zapewnia długotrwały dostęp do systemu.
Cel i zasięg operacji
Microsoft po raz pierwszy potwierdził, iż Turla może prowadzić operacje na poziomie infrastruktury ISP wewnątrz Rosji. Choć dokładna liczba zaatakowanych nie jest znana, firma ostrzega, iż celem są głównie organizacje dyplomatyczne i rządowe przebywające w Moskwie. Technika oparta na kontrolowanym przez państwo ISP korzysta z systemu SORM, który umożliwia prawnie sankcjonowany podgląd ruchu telekomunikacyjnego na poziomie operatora sieci.
Słowo na koniec
Microsoft zaleca podjęcie kilku kroków:
- Używanie VPN lub połączenia satelitarnego na terenie Moskwy – by obejść lokalnych ISP i zabezpieczyć transmisję danych.
- Uwierzytelnianie wieloskładnikowe – co zabezpiecza konta choćby po ewentualnym wykradzeniu hasła.
- Zwiększona czujność użytkowników – szkolenia dotyczące komunikatów i powiadomień, okna UAC oraz fałszywych aktualizacji.
Ten przypadek to przestroga dla wszystkich organizacji operujących w krajach o autorytarnym nadzorze nad infrastrukturą sieciową – staje się ona częścią strategii szpiegowskiej. Dla społeczności cyberbezpieczeństwa oznacza to konieczność ponownej weryfikacji zaufania do lokalnych dostawców usług internetowych.
