Microsoft: Utenlandske diplomaters enheter ble kompromittert med avansert skadevare i Moskva
Russiske internettleverandører har installert spionprogrammet ApolloShadow på enheter brukt av ansatte ved utenlandske ambassader i Moskva.
Det melder Microsofts trusseletterretningsteam i en ny rapport som avdekker en omfattende russisk etterretningsoperasjon.
Infiseringen skjedde når diplomatene koblet seg til nettverk kontrollert av russiske tilbydere, og ble gjennomført av hackergruppen Secret Blizzard, også kjent som en del av FSBs 16. senter for radioelektronisk overvåking og cyberspionasje.
Utga seg for antivirus – fanget opp kryptert data
Ifølge Microsoft opptrer ApolloShadow som tilsynelatende legitim antivirusprogramvare, men forfalsker rotsertifikater for å overvåke og endre kryptert datatrafikk. Programmet stjeler passord, autentiseringstokener og innloggingsdata, og kan opprette egne brukerkontoer med administratorrettigheter.
Les også: Ukrainsk-belarusisk hackerangrep lammet russisk flyselskap: Tusenvis av passasjerer rammet
Dette gir hackerne full kontroll over enheten og tilgang til alt fra e-post og dokumenter til kryptert kommunikasjon – inkludert materiale knyttet til diplomatiske forhandlinger og sensitive politiske prosesser.
FSB bruker nasjonal infrastruktur for overvåking
Microsoft avslører at russiske myndigheter bruker den nasjonale overvåkingsplattformen SORM (System for Operative Investigative Activities) for å muliggjøre denne type digitale angrep. SORM gir etterretningen adgang til telefoni, meldinger og datakommunikasjon over hele landet.
Den amerikanske sikkerhetsmyndigheten CISA har tidligere identifisert Secret Blizzard som en del av FSBs cyberenhet, som har spesialisert seg på å målrette diplomatiske organer, forsvarsrelaterte selskaper og offentlige institusjoner.
Langsiktig tilgang – politisk etterretning i fokus
Målet med operasjonene er å sikre varig og usynlig tilgang til utenlandske datasystemer for å samle etterretning som kan påvirke geopolitikk. Secret Blizzard benytter skadevare som fungerer både uavhengig og i samspill, uten å være avhengig av sentraliserte servere.
Dokumenter, PDF-filer, e-post og annen politisk sensitiv informasjon er blant hovedmålene. Ifølge Microsoft har denne spionasjekampanjen pågått siden 2024 og fortsatt inn i 2025, med særlig fokus på diplomatiske mål i Russland.
