A Microsoft alertou nesta quinta-feira sobre uma campanha de hacking perpetrada por grupos estatais russos, que visam embaixadas estrangeiras em Moscou. Os ataques são executados por meio de malware personalizado instalado usando técnicas adversary-in-the-middle, operando no nível do provedor de serviços de internet (ISP). Essa abordagem permite aos hackers, batizados de Secret Blizzard, se posicionar entre os alvos e os pontos finais que conectam.
O grupo, ativo desde pelo menos 1996, é ligado à serviços secretos russos, segundo a Agência de Segurança Cibernética dos EUA. Em resumo, a operação consiste em redirecionar vítimas para sites maliciosos que parecem confiáveis, induzindo-as a instalar o malware ApolloShadow.
A técnica empregada é conhecida como adversary-in-the-middle (AitM), onde os hackers interceptam tráfego de internet. Eles usam portais captive para redirecionar vítimas a sites que exibem erros de certificação, promovendo assim a instalação de certificados raiz fraudulentos.
Microsoft detalhou que o malware altera configurações de rede para tornar dispositivos mais vulneráveis e facilitar movimentos laterais em redes. A empresa recomenda que as organizações usem túneis VPN para garantir a segurança de suas conexões em Moscou.
