«Подпись для вирусов как услуга». Microsoft уничтожила сервис Fox Tempest, который делал вредоносы «легитимными»
NewsMakerКак заработать миллионы на чужих сертификатах и разозлить ФБР.
Microsoft подала в суд на сервис Fox Tempest, который помогал киберпреступникам выдавать вредоносные программы за безопасные приложения. Сервис ставил на вредоносные файлы настоящие цифровые подписи, после чего системы защиты и сами пользователи чаще принимали такие файлы за легитимное программное обеспечение.
По данным Microsoft, Fox Tempest работал с мая 2025 года и предлагал преступникам «подпись вредоносного кода как услугу». Операторы сервиса мошеннически получали доступ к инструментам подписи кода, включая Microsoft Artifact Signing. Обычно такие механизмы подтверждают, что программа не была подменена и поступила от доверенного источника. В случае Fox Tempest тот же признак доверия превращался в способ доставки вредоносных программ.
Microsoft добилась в окружном суде Южного округа Нью-Йорка разрешения на меры против инфраструктуры Fox Tempest. Компания изъяла домен signspace[.]cloud, отключила сотни виртуальных машин, которые обслуживали сервис, и заблокировала доступ к сайту с базовым кодом. Microsoft также отзывала незаконно полученные сертификаты, удаляла поддельные учетные записи и усиливала проверки, чтобы усложнить повторное использование таких схем.
Сервисом пользовались разные группы, связанные с вымогательским программным обеспечением. В иске Microsoft также назвала Vanilla Tempest соучастником. По данным компании, группировка применяла Fox Tempest для распространения Oyster, Lumma Stealer, Vidar и вымогателя Rhysida. Vanilla Tempest атаковала школы, больницы и другие критически важные организации, а Rhysida уже фигурировала в крупных инцидентах, включая утечку внутренних документов Британской библиотеки и сбои в работе международного аэропорта Сиэтл-Такома.
Microsoft также связала Fox Tempest с партнерами и семействами вымогателей INC, Qilin, Akira и другими. Компания считает, что удар по такому сервису важен не только из-за одного оператора. Fox Tempest обслуживал целую часть преступной цепочки, где одни группы пишут вредоносный код, другие занимаются доставкой, третьи продают инфраструктуру или помогают обходить защиту.
По описанию Microsoft, схема Fox Tempest выглядела просто. Операторы создавали сотни поддельных учетных записей Microsoft, используя вымышленные личности и выдавая себя за реальные организации. Затем клиенты загружали вредоносные файлы через веб-портал, а сервис подписывал их сертификатами под контролем Fox Tempest. За доступ преступники платили тысячи долларов, а общий доход сервиса мог исчисляться миллионами.
После подписи вредоносные программы выглядели безопаснее для защитных систем и пользователей. Преступники распространяли такие файлы через поддельные страницы загрузки, вредоносную рекламу и манипуляции с поисковой выдачей. Microsoft также пишет, что злоумышленники применяли искусственный интеллект для подготовки и улучшения таких кампаний, чтобы быстрее масштабировать атаки и делать обман убедительнее.
Fox Tempest быстро менял инфраструктуру после мер Microsoft. В феврале 2026 года операторы перешли на сети виртуальных машин у сторонних поставщиков, чтобы сохранить работу сервиса. После новых ограничений они попытались перевести клиентов на другой сервис подписи кода. По словам Microsoft, жалобы киберпреступников уже показывают, что доступ к текущей инфраструктуре Fox Tempest стал сложнее.
В операции участвовали компания Resecurity, Европейский центр по борьбе с киберпреступностью Европола и Федеральное бюро расследований США. Microsoft ожидает, что операторы и их клиенты попытаются восстановить инфраструктуру, поэтому компания намерена продолжать давление вместе с партнерами и другими сервисами подписи кода.
Microsoft подала в суд на сервис Fox Tempest, который помогал киберпреступникам выдавать вредоносные программы за безопасные приложения. Сервис ставил на вредоносные файлы настоящие цифровые подписи, после чего системы защиты и сами пользователи чаще принимали такие файлы за легитимное программное обеспечение.
По данным Microsoft, Fox Tempest работал с мая 2025 года и предлагал преступникам «подпись вредоносного кода как услугу». Операторы сервиса мошеннически получали доступ к инструментам подписи кода, включая Microsoft Artifact Signing. Обычно такие механизмы подтверждают, что программа не была подменена и поступила от доверенного источника. В случае Fox Tempest тот же признак доверия превращался в способ доставки вредоносных программ.
Microsoft добилась в окружном суде Южного округа Нью-Йорка разрешения на меры против инфраструктуры Fox Tempest. Компания изъяла домен signspace[.]cloud, отключила сотни виртуальных машин, которые обслуживали сервис, и заблокировала доступ к сайту с базовым кодом. Microsoft также отзывала незаконно полученные сертификаты, удаляла поддельные учетные записи и усиливала проверки, чтобы усложнить повторное использование таких схем.
Сервисом пользовались разные группы, связанные с вымогательским программным обеспечением. В иске Microsoft также назвала Vanilla Tempest соучастником. По данным компании, группировка применяла Fox Tempest для распространения Oyster, Lumma Stealer, Vidar и вымогателя Rhysida. Vanilla Tempest атаковала школы, больницы и другие критически важные организации, а Rhysida уже фигурировала в крупных инцидентах, включая утечку внутренних документов Британской библиотеки и сбои в работе международного аэропорта Сиэтл-Такома.
Microsoft также связала Fox Tempest с партнерами и семействами вымогателей INC, Qilin, Akira и другими. Компания считает, что удар по такому сервису важен не только из-за одного оператора. Fox Tempest обслуживал целую часть преступной цепочки, где одни группы пишут вредоносный код, другие занимаются доставкой, третьи продают инфраструктуру или помогают обходить защиту.
По описанию Microsoft, схема Fox Tempest выглядела просто. Операторы создавали сотни поддельных учетных записей Microsoft, используя вымышленные личности и выдавая себя за реальные организации. Затем клиенты загружали вредоносные файлы через веб-портал, а сервис подписывал их сертификатами под контролем Fox Tempest. За доступ преступники платили тысячи долларов, а общий доход сервиса мог исчисляться миллионами.
После подписи вредоносные программы выглядели безопаснее для защитных систем и пользователей. Преступники распространяли такие файлы через поддельные страницы загрузки, вредоносную рекламу и манипуляции с поисковой выдачей. Microsoft также пишет, что злоумышленники применяли искусственный интеллект для подготовки и улучшения таких кампаний, чтобы быстрее масштабировать атаки и делать обман убедительнее.
Fox Tempest быстро менял инфраструктуру после мер Microsoft. В феврале 2026 года операторы перешли на сети виртуальных машин у сторонних поставщиков, чтобы сохранить работу сервиса. После новых ограничений они попытались перевести клиентов на другой сервис подписи кода. По словам Microsoft, жалобы киберпреступников уже показывают, что доступ к текущей инфраструктуре Fox Tempest стал сложнее.
В операции участвовали компания Resecurity, Европейский центр по борьбе с киберпреступностью Европола и Федеральное бюро расследований США. Microsoft ожидает, что операторы и их клиенты попытаются восстановить инфраструктуру, поэтому компания намерена продолжать давление вместе с партнерами и другими сервисами подписи кода.