کمیته رکن چهارم – گزارشها حاکی از آن است که گروه هکری وابسته به دولت روسیه با نام Secret Blizzard در حال اجرای یک کمپین جاسوسی سایبری پیشرفته علیه سفارتخانههای خارجی در مسکو است. این عملیات با بهرهگیری از حملات مرد-در-میان (AitM) در سطح شرکتهای ارائهدهنده اینترنت انجام میشود و از بدافزار خاصی به نام ApolloShadow برای آلودهسازی دستگاهها استفاده میکند.
به گزارش کمیته رکن چهارم، مایکروسافت اعلام کرده که بدافزار ApolloShadow با نصب گواهی ریشه مورد اعتماد، به مهاجمان امکان میدهد تا ترافیک اینترنتی قربانی را کنترل کرده و اطلاعات حساس را جمعآوری کنند. عملیات از سال ۲۰۲۴ آغاز شده و همچنان ادامه دارد.
حمله در چند مرحله صورت میگیرد: ابتدا کاربر به جای سایت اصلی به یک دامنه مخرب هدایت میشود و ترغیب به دانلود بدافزار میشود. سپس فایل اجرایی با نام CertificateDB.exe اجرا شده و با ارسال اطلاعات به سرورهای کنترل، اسکریپتهای اضافی را دریافت میکند. در ادامه، بدافزار تلاش میکند دسترسی مدیریتی دریافت کرده و با اعمال تغییرات سیستمی مانند نصب گواهیهای جعلی، ساخت کاربر مخفی، کاهش تنظیمات امنیتی فایروال و دستکاری مرورگر Firefox، در سیستم باقی بماند.
بررسیها نشان میدهد که مهاجمان احتمالاً با سوءاستفاده از دسترسیهای قانونی در سطح زیرساختهای اینترنتی عمل کردهاند. همچنین، در مواردی از زیرساختهای گروهی دیگر برای مخفیسازی مسیر حمله استفاده کردهاند و کدهای مخرب را با ظاهر نرمافزارهای امنیتی مانند Kaspersky پوشش دادهاند.
کارشناسان امنیتی به دیپلماتها و نهادهای خارجی توصیه کردهاند از دسترسیهای حداقلی، مرور منظم حسابهای دارای امتیاز بالا، و استفاده از VPNهای قابل اعتماد استفاده کنند. همچنین استفاده از DNS و HTTPS ایمن میتواند در کاهش خطر این نوع حملات مؤثر باشد.
