[English]Kurzer Nachtrag von dieser Woche. Microsoft hat eine Kampagne der russischen Cybergruppe Secret Blizzard aufgedeckt und öffentlich gemacht. Die staatliche Gruppe nutzt eine Man-in-the-Middle-Position (AiTM), um eine maßgeschneiderte Malware ApolloShadow bei Botschaften in Moskau für Spionagezwecke einzusetzen.
Microsoft Threat Intelligence schreibt, dass man eine Cyberspionagekampagne des russischen Staatsakteurs mit der internen Bezeichnung Secret Blizzard aufgedeckt habe. Dieser Akteur zielt in seiner Kampagne auf Botschaften in Moskau ab und nutzt eine Man-in-the-Middle-Position (AiTM), um seine maßgeschneiderte Malware ApolloShadow einzusetzen.
ApolloShadow installiert ein vertrauenswürdiges Stammzertifikat auf den Zielsystemen, um Geräte dazu zu bringen, böswilligen, von Akteuren kontrollierten Websites zu vertrauen. Dadurch erhält Secret Blizzard persistent Zugriff auf Geräte von Diplomaten. Microsoft Threat Intelligence geht davon aus, dass das Ziel der Aktion wahrscheinlich der Informationsbeschaffung dient.
Bisher ging man, auf Grund vager Vermutungen, davon aus, dass der Akteur innerhalb der russischen Grenzen Cyber-Spionageaktivitäten gegen ausländische und inländische Einrichtungen durchführt. Nun hat Microsoft die erste Bestätigung dafür, dass der Akteur dazu auch auf der Ebene der Internetdienstanbieter (ISP) in der Lage ist, Systeme zu infiltrieren.
Daher sind diplomatische Mitarbeiter, die lokale Internetdienstanbieter oder Telekommunikationsdienste in Russland nutzen, mit hoher Wahrscheinlichkeit Ziele von Secret Blizzard und wurden vermutlich mit ihren Geräten infiziert. Diese seit 2024 andauernde Kampagne stellt laut Microsoft ein hohes Risiko für Botschaften bzw. deren Mitarbeiter sowie sensible Gruppen dar, die in Moskau tätig sind und lokale Internetanbieter nutzen.
Microsoft hat den Sachverhalt Ende Juli 2025 im Beitrag Frozen in transit: Secret Blizzard's AiTM campaign against diplomats öffentlich gemacht. Im Beitrag finden sich auch Anleitungen, wie sich Organisationen gegen diese Kampagne schützen können, sowie Indikatoren für Kompromittierung (IOCs) und Details zur Erkennung.
MVP: 2013 – 2016
Wäre interessant zu wissen, inwiefern andere ISP infiltriert sind um solche Angriffe zu fahren (auch gegen die Allgemeinheit).
Aus dem verlinkten Microsoft-Artikel:
Zitat:
"includes the installation of root certificates under the guise of Kaspersky Anti-Virus (AV)."
—
Wie ist das zu verstehen ("guise" = Verkleidung)?
Der Microsoft-Artikel ist durch diese Verwendung der Metapher "guise" unpräzise und missverständlich formuliert. Deshalb sollte man bei technischen Fachartikeln besser ohne Metaphern arbeiten.
Sah die Malware genau so aus wie Kaspersky Anti-Virus oder handelte es sich um das echte kaspersky Anti-Virus, welches das Zertifikat installierte?
In beiden Fällen war es ein schwerer Fehler des Botschaftspersonals, so eine Software zu installieren.
2.
Zitat:
"Secret Blizzard has exhibited similar techniques in past cyberespionage campaigns to infect foreign ministries in Eastern Europe by tricking users to download a trojanized Flash installer from an AiTM position."
—
Dann ist das Botschaftspersonal nicht nur sehr schlecht geschult, sondern die Benutzer scheinen auch noch Adminrechte zu haben und die Computer sind nicht verwaltet.
Flash-Player? Das ist nicht nur ein berüchtigtes Paradebeispiel für Sicherheitslücken, sondern auch noch total überflüssig für die Arbeit von Botschaftspersonal.
Noch dazu aus einer nicht vertrauenswürdigen Quelle und ohne Abgleich der Checksumme?
3.
Zitat:
"Captive portals are legitimate web pages designed to manage network access, such as those encountered when connecting to the internet at a hotel or airport"
[…]
"Once the system opens the browser window to this address, the system is redirected to a separate actor-controlled domain that likely displays a certificate validation error which prompts the target to download and execute ApolloShadow.
[…]
the malware displays the user access control (UAC) pop-up window to prompt the user to install certificates with the file name CertificateDB.exe, which masquerades as a Kaspersky installer to install root certificates and allow the actor to gain elevated privileges in the system."
—
Es erscheint also ein Zertifikatfehler auf dem Bildschirm und der Benutzer installiert dann selber aktiv durch Bestätigen des UAC-Prompts eine Software, die wie Kaspersky aussieht.
Das ist dann ein schwerer Fehler des Benutzers, wenn er bei Zertifikatfehler nicht stutzig wird und dann auch noch fremde Software installiert.
4.
Zitat:
"edgB4ACD.vbs"
"Publisher unknown"
"TEMP directory to create the path for the target script."
—
Es ist auch ein Fehler der Administratoren, dass sie den Benutzern sowas überhaupt technisch erlauben, denn sie haben die Benutzern nicht auf Standardbenutzer eingeschränkt, Applocker war auch nicht aktiviert und die Dateierweiterung für Visual Basic (.VBS) war auch nicht gesperrt.
Wäre das gemacht worden, dann könnte Malware im Temp-Ordner gar keinen Schaden anrichten.
Solche Amateure sind als Botschaftsmitarbeiter nicht geeignet.
Gab es da überhaupt irgend welche Sicherheitsvorkehrungen oder hatte da einfach jeder ein Standard-Windows mit Adminrechten und durfte auf seinen Dienstcomputern alles installieren was er wollte?
Sowas ist fahrlässig inkompetent.
Warum nutzen Diplomaten dort nicht Starlink oder ähnliches und machen sich unabhängig von russischen ISP?