マイクロソフトは、ロシア連邦保安庁(FSB)に関連するサイバースパイグループが、モスクワの外交機関を現地のインターネットサービスプロバイダー(ISP)を利用して標的にしていると警告しています。
マイクロソフトが「Secret Blizzard」(別名:Turla、Waterbug、Venomous Bear)として追跡しているこのハッカーグループは、インターネットサービスプロバイダー(ISP)レベルでの中間者(AiTM)ポジションを悪用し、外交機関のシステムにカスタムマルウェア「ApolloShadow」を感染させていることが確認されています。
これを実行するために、彼らは標的をキャプティブポータルにリダイレクトし、マルウェアのダウンロードと実行を誘導します。マイクロソフトがこの攻撃を最初に検知したのは2025年2月ですが、このサイバースパイ活動は少なくとも2024年から続いていると考えられています。
一度展開されると、ApolloShadowはKaspersky Anti-Virusに偽装した信頼されたルート証明書をインストールします。これにより、侵害されたデバイスが悪意のあるウェブサイトを正規のものと認識するようになり、脅威アクターは外交システムに侵入後も長期的にアクセスを維持し、情報収集を続けることが可能となります。
「マイクロソフトがSecret BlizzardのISPレベルでの諜報活動能力を確認できたのは今回が初めてです。つまり、ロシア国内の現地インターネットプロバイダーや通信サービスを利用している外交関係者は、Secret BlizzardによるAiTM攻撃の高リスク対象となっています」とマイクロソフトは述べています。
「このキャンペーンは少なくとも2024年から継続しており、モスクワで活動する外国大使館、外交機関、その他の機密組織にとって大きなリスクとなっています。特に現地のインターネットプロバイダーに依存している組織は注意が必要です。」
Secret Blizzardのハッカーは、ロシア国内の傍受システム(System for Operative Investigative Activities:SORMを含む)も活用し、大規模なAiTMキャンペーンを展開しています。
型破りなサイバースパイ、高度な標的に集中
Turlaは1996年以降、100カ国以上の大使館、政府、研究機関を標的としたサイバースパイおよび情報窃取キャンペーンを指揮してきました。
2年前、CISAはこのグループをロシア連邦保安庁(FSB)第16センターおよび、後に共同作戦で無力化されたSnakeサイバースパイマルウェアに感染したP2Pネットワークと関連付けました。
これらのロシア国家支援ハッカーは、米中央軍、NASA、ペンタゴン、複数の東欧の外務省、フィンランド外務省、EUの政府や大使館を標的とした攻撃の主な容疑者でもあります。
この脅威グループは、ブリトニー・スピアーズのInstagram写真のコメントを使ったマルウェアの遠隔操作や、独自APIを持つバックドアトロイの木馬の利用など、型破りな戦術で知られています。
Turlaはまた、イランのAPT「OilRig」の乗っ取ったインフラやマルウェアを自らのキャンペーンで利用し、防御側に攻撃の出所をイラン国家ハッカーだと誤認させる手口も用いてきました。
最近では、パキスタンの脅威アクター「Storm-0156」のインフラを乗っ取り、Starlink経由で接続されたウクライナ軍のデバイスを標的にしていることも確認されています。
CISOが実際に使うボードレポートデッキ
CISOは、取締役会の賛同を得るには、クラウドセキュリティがどのようにビジネス価値を生み出すかを明確かつ戦略的に示すことが重要だと理解しています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティの最新情報を意味のある会話や迅速な意思決定につなげましょう。