Nhóm tin tặc bị Microsoft theo dõi với tên gọi Secret Blizzard (tên gọi khác là Turla, Waterbug và Venomous Bear) đã bị phát hiện lợi dụng vị thế tấn công mạng dạng nghe lén (AiTM) ở cấp độ nhà cung cấp dịch vụ Internet (ISP) để lây nhiễm mã độc ApolloShadow tùy chỉnh vào hệ thống của các cơ quan ngoại giao. Được biết, AiTM là một loại tấn công mà kẻ xâm nhập đứng giữa đường dẫn dữ liệu giữa hai bên (ví dụ người dùng và máy chủ), ghi lại hoặc chỉnh sửa thông tin trước khi chuyển tiếp đến người nhận cuối cùng.

Để làm được điều này, chúng chuyển hướng mục tiêu đến các cổng bị khóa, lừa nạn nhân tải xuống và thực thi một phần mềm độc hại được ngụy trang dưới dạng trình cài đặt phần mềm diệt virus Kaspersky.

Sau khi được triển khai, ApolloShadow sẽ cài đặt một chứng chỉ gốc đáng tin cậy được ngụy trang dưới dạng phần mềm diệt virus Kaspersky Anti-Virus, giúp đánh lừa các thiết bị bị xâm nhập nhận dạng các trang web độc hại là hợp pháp, cho phép kẻ tấn công duy trì quyền truy cập lâu dài để thu thập thông tin tình báo sau khi xâm nhập vào hệ thống ngoại giao.

"Đây là lần đầu tiên Microsoft xác nhận khả năng thực hiện hoạt động gián điệp ở cấp độ ISP của Secret Blizzard, nghĩa là các nhân viên ngoại giao sử dụng dịch vụ của các nhà cung cấp Internet cũng như các nhà cung cấp dịch vụ viễn thông địa phương tại Nga có nguy cơ cao trở thành mục tiêu AiTM của Secret Blizzard", Microsoft cho biết.

"Chiến dịch này đã diễn ra ít nhất từ năm 2024, gây ra rủi ro cao cho các đại sứ quán nước ngoài, các cơ quan ngoại giao và các tổ chức nhạy cảm khác hoạt động tại Moscow, đặc biệt là những tổ chức phụ thuộc vào các nhà cung cấp Internet địa phương."

Mặc dù Microsoft lần đầu phát hiện các cuộc tấn công vào tháng 02/2025, nhưng công ty tin rằng chiến dịch gián điệp mạng này đã hoạt động ít nhất từ năm 2024.

Tin tặc Secret Blizzard cũng đang lợi dụng các hệ thống chặn nội bộ của Nga, bao gồm Hệ thống Điều tra Hoạt động (SORM), để thực hiện các chiến dịch AiTM quy mô lớn.

Gián điệp mạng  nhắm vào các mục tiêu cấp cao

Secret Blizzard đã chỉ đạo các chiến dịch gián điệp mạng và đánh cắp thông tin nhắm vào các đại sứ quán, chính phủ và cơ sở nghiên cứu tại hơn 100 quốc gia kể từ ít nhất năm 1996.

Hai năm trước, Tổ chức kiểm định thông tin của Mỹ (CISA) đã liên kết nhóm này với Trung tâm 16 thuộc Cơ quan An ninh Liên bang Nga (FSB) và một mạng lưới máy tính ngang hàng (P2P) bị nhiễm phần mềm độc hại gián điệp mạng Snake. Sau đó, mạng lưới này đã bị gỡ bỏ trong một hành động chung giữa các cơ quan tình báo và an ninh mạng Five Eyes.

Những tin tặc đến từ Nga cũng là nghi phạm chính đứng sau các cuộc tấn công nhắm vào Bộ Tư lệnh Trung ương Hoa Kỳ, Cơ quan hàng không vũ trụ (NASA), Lầu Năm Góc, nhiều Bộ Ngoại giao Đông Âu, Bộ Ngoại giao Phần Lan, các chính phủ và đại sứ quán EU.

Nhóm tin tặc này nổi tiếng với các chiến thuật độc đáo, bao gồm việc kiểm soát phần mềm độc hại thông qua các bình luận trên ảnh Instagram của Britney Spears và sử dụng phần mềm độc hại dạng ấn náu (trojan) cửa hậu với mạng API riêng của chúng.

Secret Blizzard cũng đã lợi dụng cơ sở hạ tầng bị chiếm đoạt và phần mềm độc hại từ giàn khoan dầu APT của Iran trong các chiến dịch riêng của chúng nhằm đánh lạc hướng và lừa gạt những người bảo vệ, khiến họ quy các cuộc tấn công của chúng cho tin tặc nhà nước Iran.

Gần đây nhất, chúng cũng bị phát hiện chiếm đoạt cơ sở hạ tầng của nhóm tin tặc Storm-0156 đến từ Pakistan để nhắm mục tiêu vào các thiết bị quân sự của Ukraine được kết nối qua Starlink.

Hà Linh