Разгром Fox Tempest: как Microsoft ликвидировала сервис подписи вредоносного ПО

Что представляла собой операция Fox Tempest

Fox Tempest — финансово мотивированная киберпреступная группа, которая не обязательно проводила все атаки самостоятельно. Вместо этого она продавала ключевую инфраструктурную услугу другим злоумышленникам.

Microsoft описывает её как «поставщика на верхнем уровне цепочки поставок ransomware» — то есть как сервис, который облегчает проведение атак для множества групп.

Для работы платформа злоупотребляла Microsoft Artifact Signing — облачным сервисом, предназначенным для легитимных разработчиков. Он используется для цифровой подписи программ, чтобы операционные системы могли убедиться, что файл подлинный и не был изменён.

Fox Tempest применяла этот инструмент иначе: с его помощью создавались краткоживущие сертификаты подписи кода, которыми подписывали вредоносные файлы. После этого malware выглядело как проверенное приложение.

По данным Microsoft:

• было создано более 1000 сертификатов подписи кода
• использовались сотни Azure‑тенантов и подписок для поддержки инфраструктуры

Это позволило сервису работать долгое время и обслуживать множество клиентов в криминальной экосистеме.

Как работал сервис signspace[.]cloud

Центром всей схемы был сайт signspace[.]cloud — платформа, где преступники могли фактически «заказать» цифровую подпись для вредоносного файла.

Принцип работы был довольно прост:

• злоумышленник загружал вредоносный бинарный файл
• сервис создавал сертификат через злоупотребление Artifact Signing
• файл возвращался уже с действительной цифровой подписью

После этого вредоносная программа выглядела подписанной в цепочке доверия сертификатов — то есть так, как будто её выпустил легитимный разработчик.

В некоторых случаях сертификаты действовали очень короткое время — около 72 часов. Это давало атакующим достаточно времени для распространения malware, но затрудняло защитникам обнаружение и отзыв сертификатов.

Какие группы использовали сервис

По данным Microsoft и исследователей безопасности, Fox Tempest предоставляла услуги различным группам киберпреступников.

Среди клиентов упоминались:

• операторы ransomware Rhysida
• группа Vanilla Tempest
• группа Storm‑0501
• другие преступные команды, отслеживаемые Microsoft Threat Intelligence.

Сервис также был связан с распространением нескольких известных семейств вредоносного ПО, включая:

• Oyster
• Lumma Stealer
• Vidar

Однако публичные отчёты не всегда раскрывают детали того, как именно инфраструктура Fox Tempest взаимодействовала с каждым из этих инструментов.

Как Microsoft остановила операцию

Для ликвидации сервиса Microsoft использовала комбинацию юридических действий, разведки угроз и технических мер.

Судебное разбирательство
Компания подала гражданский иск в Федеральный окружной суд США по Южному округу Нью‑Йорка, направленный против инфраструктуры Fox Tempest.

Изъятие инфраструктуры
Совместно с хостинг‑провайдерами и партнёрами Microsoft изъяла домены и отключила серверы, включая основной сайт операции.

Отзыв сертификатов
Было аннулировано более 1000 мошеннических сертификатов подписи кода, созданных через эту схему.

Отключение облачных ресурсов
Microsoft выявила и отключила сотни Azure‑тенантов и виртуальных машин, поддерживавших сервис.

Разведывательная работа
Подразделение Microsoft Digital Crimes Unit использовало различные методы расследования, включая работу под прикрытием, чтобы выявить инфраструктуру и операторов сервиса.

В совокупности эти действия фактически разрушили платформу, которая обеспечивала подпись вредоносного ПО для множества атакующих групп.

Почему этот случай важен

История Fox Tempest подчёркивает два ключевых тренда современной киберпреступности.

Киберпреступность превращается в сервисную экономику

Сегодня злоумышленники всё чаще работают по модели разделения ролей. Появляются специализированные услуги, такие как:

• ransomware‑as‑a‑service
• брокеры начального доступа
• инфраструктура размещения вредоносного ПО
• сервисы подписи вредоносных файлов

Fox Tempest показывает, что даже одна узкая услуга — например, подпись malware — может играть критическую роль в глобальных атаках ransomware.

Подрыв доверия к системе цифровых подписей

Цифровая подпись — фундаментальный механизм безопасности. Она позволяет операционной системе и пользователю убедиться, что программа:

• создана известным разработчиком
• не была изменена после выпуска.

Когда преступники получают или генерируют поддельные сертификаты, вредоносное ПО может выглядеть практически неотличимым от легитимных приложений.

Это позволяет:

• снижать количество предупреждений безопасности
• повышать вероятность запуска вредоносного файла
• обходить системы защиты, основанные на репутации программ

Поэтому злоупотребление подписью кода считается особенно опасной техникой, так как атакует саму основу доверия в программной экосистеме.

Главный урок

Операция против Fox Tempest показывает: борьба с киберпреступностью всё чаще требует атаковать инфраструктуру и сервисы, которые обслуживают множество преступных групп одновременно.

Уничтожив один такой сервис — например, платформу подписи вредоносного ПО — защитники могут нарушить работу целого сегмента криминальной экосистемы.

Но этот случай также напоминает о другой проблеме: даже инструменты, созданные для повышения безопасности программного обеспечения, могут быть превращены в оружие, если злоумышленники находят способы ими злоупотреблять.