Microsoft Threat Intelligence ha
informado en su blog
que descubierto una campaña de ciberespionaje del actor estatal ruso, al que
rastrearon como Secret Blizzard, que ha estado atacando embajadas ubicadas
en Moscú utilizando una posición de adversario en el medio (AiTM) para
desplegar su malware personalizado ApolloShadow. ApolloShadow tiene la
capacidad de instalar un certificado raíz de confianza para engañar a los
dispositivos y hacerlos confiar en sitios controlados por actores
maliciosos, lo que permite a Secret Blizzard mantener la persistencia en
dispositivos diplomáticos, probablemente para recopilar
inteligencia.
|
| Visto en arsTechnica |
Si bien previamente se evaluó con baja certeza que el actor realiza
actividades de ciberespionaje dentro de las fronteras rusas contra entidades
nacionales y extranjeras, esta es la primera vez que pueden confirmar que
tiene la capacidad de hacerlo a nivel de Proveedor de Servicios de Internet
(ISP). Esto significa que el personal diplomático que utiliza ISP locales o
servicios de telecomunicaciones en Rusia es muy probablemente blanco de la
posición AiTM de Secret Blizzard dentro de dichos servicios.
El blog
ofrece orientación sobre cómo las organizaciones pueden protegerse contra la
campaña Ai™ ApolloShadow de Secret Blizzard, incluyendo forzar o enrutar
todo el tráfico a través de un túnel cifrado hacia una red confiable o usar
un proveedor alternativo (como una conexión satelital) alojado en un país
que no controla ni influye en la infraestructura del proveedor. El blog
también proporciona información adicional sobre defensa de red, como
recomendaciones, indicadores de compromiso (IOC) y detalles de
detección.
La investigación detalla que por primera vez se confirma que el FSB ejecuta
ciberespionaje con alcance en la infraestructura de ISPs rusos, lo que
expone a cualquier personal diplomático conectado a estos servicios a la
vigilancia de los atacantes. El informe describe que el malware permite a
los hackers instalar puertas traseras personalizadas en los dispositivos de
sus víctimas para incorporar software adicional y sustraer
información.
El grupo Turla o “Secret Blizzard”, vinculado al Servicio Federal de
Seguridad de Rusia (FSB), es según el gobierno de Estados Unidos,
considerado uno de los más sofisticados y persistentes del mundo, con una
trayectoria de más de 25 años en operaciones contra gobiernos, periodistas y
otras organizaciones. En mayo de 2023, el Departamento de Justicia de EEUU
anunció el desmantelamiento de una red informática global empleada por Turla
para ataques en nombre del gobierno ruso. Las autoridades rusas y
estadounidenses no respondieron a solicitudes de comentarios sobre los
hallazgos de Microsoft.
El informe sugiere que las operaciones se apoyan en sistemas legales de
intercepción masiva, como el Sistema para Actividades de Investigación
Operativa (SORM), base de la vigilancia estatal en Rusia y herramienta clave
para las agencias del FSB en la interceptación de telecomunicaciones
internas.
Notas relacionadas:
- Frozen in transit: Secret Blizzard’s AiTM campaign against diplomats. Microsoft Threat Intelligence. 31/07/2025.
- Microsoft advirtió sobre una campaña de ciberespionaje masivo en Moscú dirigida por un grupo vinculado a la inteligencia rusa. Infobae. 31/07/2025.
- Microsoft catches Russian hackers targeting foreign embassies. arsTechnica. 31/07/2025.
Post relacionado:
___________________
NOTA: Las cookies de este sitio se usan para personalizar el contenido y los
anuncios, para ofrecer funciones de medios sociales y para analizar el
tráfico. Además, compartimos información sobre el uso que haga del sitio web
con nuestros partners de medios sociales, de publicidad y de análisis web.
Ver detalles.
IMPORTANTE: Todas las publicaciones son sin fines comerciales ni
económicos. Todos los textos de mi autoría tienen ©todos los derechos
reservados. Los contenidos en los link (vínculos) de las notas replicadas
(reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores.
Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.
No hay comentarios.:
Publicar un comentario
Bienvenido al blog y muchas gracias por su visita. Espero que el contenido sea de utilidad, interés y agrado.
Los comentarios están moderados. Antes de colocar un comentario lea bien las condiciones, tenga en cuenta que no se permitirán comentarios que:
- sean anónimos y/o posean sólo un nickname.
- no estén vinculados a una cuenta.
- posean links promocionando páginas y/o sitios.
- no se admite propaganda de ningún tipo
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.
Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, abusivos, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.