Microsoft: Kremlin misbruikt internetproviders om diplomaten te bespioneren
Russische cyberspionnen misbruiken lokale internetproviders om buitenlandse ambassades in Moskou te bespioneren. Dat meldt Microsoft in een rapport van zijn Threat Intelligence-team. De spionnen, gelinkt aan de Kremlin-gesteunde groep Secret Blizzard (ook bekend als Turla), zouden de netwerken van de providers gebruiken om toegang te krijgen tot apparaten van diplomaten en gevoelige informatie te stelen.
Sinds begin 2024 voert de groep zogeheten 'adversary-in-the-middle'-aanvallen (AiTM) uit, waarbij ze communicatie tussen apparaten en websites onderscheppen. Volgens Microsoft gebeurt dit waarschijnlijk met instemming van de internetproviders.
De aanvallers misleiden diplomaten door ze via een zogenaamd captive portal naar een malafide website te leiden, waar vervolgens de ApolloShadow-malware wordt geïnstalleerd. Deze malware geeft de aanvallers verhoogde privileges op het geïnfecteerde systeem en creëert een nieuwe beheerdersaccount voor permanente toegang.
Microsoft adviseert alle gevoelige organisaties in Moskou om al het internetverkeer te beveiligen met een VPN of een andere versleutelde tunnel die niet via lokale providers loopt.
Foto: Kremlin, Moskou, Rusland
