Il gruppo di cyber spionaggio noto come Secret Blizzard, collegato ai servizi segreti russi, è stato identificato come responsabile di una sofisticata campagna di attacchi informatici contro le ambasciate straniere a Mosca. Questa operazione si distingue per l'utilizzo di una tecnica adversary-in-the-middle (AitM) a livello di fornitore di servizi Internet (ISP), che consente agli attaccanti di intercettare e manipolare il traffico di rete delle vittime, in particolare dei dispositivi appartenenti a personale diplomatico.

Distribuzione del malware ApolloShadow

La campagna, attiva almeno dal 2024, prevede la distribuzione di un malware personalizzato chiamato ApolloShadow. Questo malware è progettato per installare un certificato root attendibile nei dispositivi compromessi, così da ingannare i sistemi e far sì che considerino sicuri i siti controllati dagli attaccanti. In questo modo, Secret Blizzard riesce a mantenere una persistenza invisibile sui dispositivi delle ambasciate, facilitando la raccolta di informazioni sensibili.

Tecniche di attacco e persistenza

Gli attacchi iniziano con il reindirizzamento dei dispositivi bersaglio verso infrastrutture controllate dal gruppo, sfruttando portali captive tipici delle reti Wi-Fi, che portano al download e all’esecuzione di ApolloShadow. Il malware raccoglie informazioni sull’host e tenta di ottenere privilegi elevati tramite una finestra di controllo degli accessi utente (UAC), spingendo l’utente a concedere permessi amministrativi. Se riesce, modifica le impostazioni di rete e del firewall per aumentare la visibilità del dispositivo sulla rete e facilita la condivisione di file, creando anche un nuovo utente amministratore per garantire accesso continuo.

Tattiche di evasione e manipolazione dei certificati

Tra le tecniche utilizzate c’è anche la falsa installazione di certificati root sotto il nome di noti software antivirus, come Kaspersky, per legittimare le modifiche e confondere eventuali controlli. Inoltre, il malware rilascia uno script JavaScript (“wincert.js”) per far sì che anche il browser Firefox riconosca i certificati malevoli come affidabili.

Raccomandazioni per la sicurezza

Le società di sicurezza raccomandano alle ambasciate e alle organizzazioni diplomatiche di Mosca di adottare il principio del minimo privilegio, controllare regolarmente i gruppi con privilegi elevati e instradare tutto il traffico verso tunnel cifrati affidabili o VPN, al fine di mitigare il rischio di compromissione da parte di minacce come Secret Blizzard. Queste misure sono fondamentali per proteggere i dati sensibili e garantire la sicurezza delle comunicazioni contro attacchi di cyber spionaggio sempre più sofisticati.