Cyberaanvallen door Russische hackers op diplomatieke missies in Moskou

Microsoft waarschuwt dat een cyber-espionagegroep die vermoedelijk banden heeft met de Russische geheime dienst FSB, diplomatieke missies in Moskou aanvalt. Deze hackers, aangeduid als Secret Blizzard door Microsoft (ook bekend als Turla, Waterbug en Venomous Bear), maken gebruik van lokale internetproviders om systemen van deze diplomatieke missies te infecteren met de specifieke ApolloShadow-malware.

Door internetverkeer om te leiden naar ‘captive portals’, weten ze doelwitten te misleiden om malware te downloaden die zich voordoet als een update van Kaspersky antivirus. Deze malware installeert een vertrouwd root-certificaat, waardoor gevaarlijke websites als legitiem worden gezien. Hierdoor behouden de aanvallers langdurige toegang voor het verzamelen van inlichtingen.

Volgens Microsoft is dit de eerste keer dat Secret Blizzard op ISP-niveau aan spionage doet. Dit betekent een verhoogd risico voor diplomatiek personeel dat Russische internetproviders gebruikt. Deze campagne, die sinds minstens 2024 gaande is, vormt een grote bedreiging voor buitenlandse ambassades en andere gevoelige organisaties in Moskou.

Niet-traditionele cyberspionnen richten zich op prominente doelen

Sinds 1996 voert Turla cyber-espionagecampagnes uit die ambassades, overheden en onderzoeksinstellingen in meer dan 100 landen treffen. CISA heeft de groep gelinkt aan een eenheid binnen de FSB en aan een P2P-netwerk geïnfecteerd met Snake-malware, wat later werd neergehaald door een samenwerking tussen internationale inlichtingendiensten.

Deze door de staat gesteunde hackers worden ook gezien als hoofdverdachten in aanvallen op onder andere het Amerikaanse Centraal Commando, NASA, het Pentagon en meerdere ministeries van Buitenlandse Zaken in Oost-Europa.

Turla staat bekend om zijn ongebruikelijke tactieken, zoals het sturen van commando’s via reacties op Instagram-foto’s van Britney Spears en het gebruik van malware met eigen API’s. Ze hebben zelfs de infrastructuur en malware van Iraanse hackers gebruikt om verwarring te zaaien.

Recentelijk maakten ze gebruik van de infrastructuur van een Pakistaanse dreigingsgroep om Oekraïense militaire apparaten die zijn verbonden via Starlink, aan te vallen.

Toenemende dreiging van malware

Malware-aanvallen gericht op wachtwoord-applicaties zijn verdrievoudigd, waarbij aanvallers gebruikmaakten van onopvallende Perfect Heist-technieken om kritieke systemen te infiltreren. Ontdek de top 10 MITRE ATT&CK-technieken achter 93% van de aanvallen en hoe je jezelf kunt verdedigen.

[Lees het volledige Red Report 2025]

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.