Специалисты Microsoft Threat Intelligence обнаружили новую кампанию российской хакерской группы Secret Blizzard против иностранных дипломатических представительств в Москве. Атака проводится не на уровне отдельных устройств, а прямо на уровне интернет-провайдера — это классическая схема adversary-in-the-middle (AitM), но реализованная так, что перехватить трафик можно у любого абонента конкретного оператора связи.
Кто стоит за атакой
Secret Blizzard (ранее известная как Krypton) связана с ФСБ России и в разных отчётах фигурирует под названиями Blue Python, Iron Hunter, Pensive Ursa, Snake, SUMMIT, Uroburos, Turla, Venomous Bear и Waterbug. По оценке Microsoft, нынешняя кампания против посольств в Москве идёт как минимум с 2024 года. В декабре того же года Microsoft и Black Lotus Labs (Lumen Technologies) уже сообщали, что группа использовала C2-инфраструктуру пакистанского хакерского объединения для запутывания следов атрибуции. Также известно, что Secret Blizzard «подсаживается» на чужие вредоносные кампании — в частности, доставляла свой бэкдор Kazuar на устройства жертв на Украине через инфраструктуру других группировок.
Как работает перехват
По данным Microsoft, позиция «человека посередине» у группы, вероятно, обеспечивается механизмом законного перехвата (lawful intercept), доступным операторам связи в России. Жертву — устройство дипломата — заводят за captive portal, поддельную страницу авторизации Wi-Fi или проводного подключения.
Дальше в дело вступает штатная служба Windows Test Connectivity Status Indicator: она отправляет HTTP GET-запрос на адрес www.msftconnecttest.com по пути /redirect, который в норме должен перенаправлять на msn.com. Атакующие подменяют это перенаправление на собственный домен, где браузеру показывают ошибку проверки сертификата — под этим предлогом жертву убеждают скачать и запустить файл, который на деле является вредоносом ApolloShadow. Установочный сертификат при этом маскируется под продукт «Лаборатории Касперского».
Что делает ApolloShadow
Запустившись, ApolloShadow отправляет на C2-сервер сведения о хосте. Если процесс работает не с правами администратора по умолчанию, он запускает бинарник CertificateDB.exe и получает с сервера второй payload — VBS-скрипт. Затем вредонос перезапускает сам себя и выводит окно контроля учётных записей (UAC), требуя предоставить максимально доступные привилегии.
Получив повышенные права, ApolloShadow через изменения в реестре переводит все сетевые профили в режим «частная сеть», создаёт локального администратора с именем UpdatusUser и жёстко заданным паролем — это даёт злоумышленникам постоянный доступ к машине. Заодно устройство становится «видимым» в сети, а правила брандмауэра ослабляются для общего доступа к файлам. Прямых попыток горизонтального перемещения по сети Microsoft не зафиксировала, но, по мнению компании, именно для облегчения такого перемещения эти изменения и вносятся.
Финальный шаг — жертве показывают окно «установки цифровых сертификатов», и на машину через утилиту certutil ставятся два корневых сертификата, контролируемых атакующими. Отдельно сбрасывается файл wincert.js, который заставляет Mozilla Firefox также доверять этим сертификатам — тем самым злоумышленники получают возможность перехватывать и подменять зашифрованный HTTPS-трафик жертвы.
Как защититься
Microsoft рекомендует дипломатическим представительствам в Москве придерживаться принципа минимальных привилегий, регулярно проверять состав привилегированных групп пользователей и направлять весь трафик через зашифрованный туннель к доверенной сети — например, использовать VPN-сервис, которому можно доверять.
Источник: The Hacker News.