【安全资讯】俄罗斯政府通过ISP级网络间谍活动监控莫斯科外国使馆

概要：

微软最新研究揭示，俄罗斯政府通过控制本地互联网服务提供商（ISP）安装恶意软件，监控莫斯科的外国使馆。这一网络间谍活动自2024年起活跃，由微软称为Secret Blizzard的组织发起，该组织隶属于俄罗斯联邦安全局（FSB）的Center 16。微软确认，Secret Blizzard（又称Turla）首次展示了在ISP级别进行间谍活动的能力，使用中间人（AiTM）技术部署ApolloShadow恶意软件，从外交实体收集情报并维持系统访问权限。

主要内容：

微软在周四的博客中表示，2025年2月首次发现间谍使用AiTM技术针对外国使馆部署ApolloShadow恶意软件。AiTM技术使威胁行为者能够定位在多个网络之间，以促进进一步行动。微软推测，Secret Blizzard利用俄罗斯境内的ISP或电信级别的合法拦截，获取外国使馆系统的访问权限。这意味着使用俄罗斯本地ISP或电信服务的外交人员极可能成为Secret Blizzard的AiTM攻击目标。

微软指出，该组织可能利用俄罗斯国内拦截系统，如“系统操作调查活动”（SORM），这些系统可能在大规模行动中起到关键作用。Secret Blizzard过去在东欧的网络间谍活动中使用类似技术，通过欺骗用户下载特洛伊化的Flash安装程序感染外交部。ApolloShadow恶意软件伪装成卡巴斯基杀毒软件安装程序，使攻击者获得系统提升权限，并放松防火墙规则以启用文件共享。

微软警告称，该活动对莫斯科的外国使馆、外交实体和其他依赖本地互联网提供商的组织构成重大风险。建议在俄罗斯运营的组织使用虚拟专用网络（VPN）或将所有流量通过加密隧道路由至可信网络。微软的研究还提到，白俄罗斯的威胁行为者曾使用类似技术，与Secret Blizzard有联系，进一步凸显了国家支持的网络间谍活动的复杂性和危险性。