Kremlin espiona embaixadas em Moscou através de provedores de Internet, revela Microsoft

Uma nova e alarmante pesquisa da Microsoft revela que o governo russo está conduzindo uma sofisticada campanha de espionagem cibernética contra embaixadas estrangeiras em Moscou. A operação é executada através da instalação de malware, aproveitando o controle estatal sobre os provedores de serviços de internet (ISPs) locais.

A campanha de espionagem, que está ativa desde pelo menos 2024, é atribuída a um grupo hacker que a Microsoft chama de Secret Blizzard. De acordo com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), este grupo é parte integrante do Centro 16 do Serviço Federal de Segurança da Rússia (FSB).

A Microsoft destacou que esta é a primeira vez que confirma que o Secret Blizzard, também conhecido como Turla, possui a capacidade de realizar espionagem no nível dos provedores de internet, uma posição de poder imenso.

Em uma publicação na última quinta-feira, a Microsoft detalhou ter observado os espiões pela primeira vez em fevereiro de 2025, utilizando uma técnica de Adversary-in-the-Middle (AiTM) para implantar o malware ApolloShadow.

Este método permite que o invasor se posicione entre a vítima e a internet, interceptando e manipulando o tráfego para coletar informações de entidades diplomáticas e manter acesso persistente aos seus sistemas.

A Microsoft teoriza que o Secret Blizzard está utilizando sistemas de interceptação legal dentro da Rússia, como o SORM (Sistema para Atividades de Investigação Operacional), para viabilizar seu acesso. "Isso significa que o pessoal diplomático que utiliza serviços locais de ISP ou telecomunicações na Rússia é um alvo altamente provável da posição AiTM do Secret Blizzard dentro desses serviços", afirmou a empresa.

Como o Ataque Funciona

O grupo hacker usa sua posição privilegiada para redirecionar os dispositivos dos alvos para portais cativos — páginas web legítimas, semelhantes às usadas para acessar o Wi-Fi em hotéis ou aeroportos. No entanto, essas páginas estão sob o controle dos hackers.

Os visitantes são então levados a um domínio separado que os induz a baixar, sem saber, o malware ApolloShadow. Partes do malware se disfarçam como um instalador do antivírus Kaspersky, o que permite ao invasor obter privilégios elevados no sistema.

Uma vez instalado, o ApolloShadow modifica as regras de firewall para facilitar o compartilhamento de arquivos e a movimentação lateral pela rede, preparando o terreno para uma espionagem mais profunda.

Contexto e Implicações Mundiais

A Microsoft alerta que a campanha representa um risco significativo para embaixadas, entidades diplomáticas e outras organizações que operam em Moscou, recomendando o uso de VPNs ou o roteamento de todo o tráfego por túneis criptografados.

Esta revelação surge meses após preocupações sobre como o governo Trump lida com comunicações sensíveis na Rússia, especialmente após um enviado do presidente ter se encontrado com Vladimir Putin em março.

Este modus operandi não é totalmente novo na região. Em 2023, pesquisadores da ESET atribuíram uma campanha semelhante, orientada por ISP, a Belarus, um aliado da Rússia. Na ocasião, hackers visavam embaixadas estrangeiras para roubar documentos, gravar áudio e monitorar as atividades das vítimas, usando táticas de AiTM e portais cativos quase idênticas. Os pesquisadores da ESET encontraram laços entre os hackers bielorrussos e o grupo Secret Blizzard/Turla.

Sherrod DeGrippo, diretora de estratégia de inteligência de ameaças da Microsoft, alertou que essa tática pode ser adotada por outros países com forte controle estatal sobre as telecomunicações, como China, Irã ou Coreia do Norte.

"Esta campanha é emblemática de como os grupos patrocinados pelo Estado estão colapsando a fronteira entre 'vigilância passiva' e 'intrusão ativa'", disse ela.

"É uma mudança de apenas observar o tráfego para modificá-lo ativamente para obter acesso aos sistemas-alvo, sinalizando uma integração mais ampla entre vigilância e operações ofensivas."

Via - RFN