俄情报局透过ISP装后门 多国大使馆遭监视

美国微软公司7月31日发表的威胁情报报告指出，俄罗斯负责国内情报工作的“俄罗斯联邦安全局”（FSB），直接利用当地网络服务提供商（ISP），对外国大使馆和外交机构系统植入恶意程序，可能用于进行网络间谍活动。

根据《路透》报道和微软报告内容，微软追踪FSB在今年2月进行一场网络间谍行动，锁定莫斯科多个未披露名称的外国大使馆，透过ISP下手便于在目标电脑安装客制化后门程序，之后可持续安装更多恶意程序并窃取资料。

这是首次证实，俄国直接从ISP层级，对外国进行网络窃密行动，这意味着利用当地ISP或者电讯服务的外交人员，都有高度可能是目标。 微软威胁情报策略总监狄格里波（Sherrod DeGrippo）表示，微软现在肯定这项活动在俄罗斯境内发生。

这项发现时值华府升高施压莫斯科，与乌克兰达成停火协议，结束在乌国的战争，以及北大西洋公约组织（NATO）国家承诺提高国防开支，因应俄国的威胁。

微软的报告指出，他们追踪的俄国政府行为者“秘密暴雪”（Secret Blizzard），利用“中间人攻击”（AiTM）手法，对多个大使馆部署恶意软件ApolloShadow，使其得以安装受信任的根凭证，骗过目标装置误信受黑客控制的网站，让黑客得以长期潜伏外交人员装置，可能用于搜集情报。 报告说，这项行动至少自2024年起就持续进行，对驻俄使馆、外交机构和其他敏感组织构成高度风险，尤其是仰赖当地网络服务提供商者。

黑客活动示意图。 （路透文件照）

“秘密暴雪”、或被称为“Turla”。 美国政府2023年5月在联邦调查局（FBI）破获“Turla”一场持续多年的渗透行动后，曾指出该组织对政府、记者等对象进行黑客活动长达将近20年。 美国国务院尚未评论此事。 俄外交官也未回应，莫斯科一贯否认进行网络间谍活动。

克里姆林宫屋顶悬挂的俄罗斯国旗。 （路透文件照）