HomeNajnowsze

Rosyjscy hakerzy podszywali się pod Cloudflare. Amazon ujawnia nową kampanię szpiegowską APT29

0

Amazon ujawnił, że wykrył i skutecznie przerwał nową kampanię hakerską prowadzoną przez rosyjską grupę APT29 (znaną również jako Midnight Blizzard), powiązaną z rosyjską Służbą Wywiadu Zagranicznego (SWR).

To nie Ukrainiec, ale żołnierz Putina
Chcą skłócić Polaków i Ukraińców
Kaszubi nie są satanistami

Według Amazon Security, hakerzy z APT29 włamywali się na legalne, często zaufane strony internetowe (głównie instytucjonalne, akademickie lub medialne) i dodawali do nich złośliwy kod JavaScript. Dzięki temu część odwiedzających – około 10% użytkowników – była potajemnie przekierowywana na spreparowane strony internetowe do złudzenia przypominające oficjalny serwis Cloudflare.

Na tych fałszywych stronach użytkownicy byli zachęcani do „autoryzacji” swoich urządzeń za pomocą mechanizmu logowania Microsoft (device code authentication). W rzeczywistości była to pułapka – po wykonaniu tych kroków użytkownicy nieświadomie autoryzowali dostęp… rosyjskich hakerów.

Cel rosyjskiej operacji

Nie był to przypadkowy atak, ale starannie zaplanowana operacja wywiadowcza. Celem Rosji było:

  • Pozyskiwanie dostępu do skrzynek mailowych i plików w chmurze (Microsoft 365, Google Drive, itp.) urzędników, dziennikarzy, pracowników uczelni wyższych i organizacji pozarządowych, głównie z USA i państw sojuszniczych.

  • Zbieranie informacji wywiadowczych na temat polityki wewnętrznej Zachodu, zwłaszcza działań administracji amerykańskiej.

  • Podważanie zaufania do cyfrowych systemów bezpieczeństwa, m.in. Microsoftu i Cloudflare, oraz sianie dezinformacji w zakresie cyberochrony.

  • Użycie techniki tzw. „watering hole” – czyli infekowania zaufanych stron, z których korzystają konkretne, pożądane grupy celowe (targeted users), zamiast rozsyłania masowego spamu.

Skala zagrożenia

Amazon podkreślił, że to nie był jednorazowy atak, lecz element długofalowej i systematycznej strategii rosyjskiego wywiadu, prowadzonej od lat. Grupa APT29 była wcześniej odpowiedzialna m.in. za atak na SolarWinds i próbę włamania do serwerów Demokratów w USA.

Działania obronne

Amazon, we współpracy z Cloudflare i Microsoftem, podjął szybkie działania:

  • zidentyfikowano i wyłączono spreparowane instancje AWS EC2 wykorzystywane przez hakerów,

  • zablokowano złośliwe domeny i skrypty,

  • opublikowano dane techniczne ataku (Indicators of Compromise) dla administratorów systemów na całym świecie.

Podsumowanie

Rosyjski cyberatak APT29 to kolejny przykład wykorzystywania narzędzi cyfrowych do celów wywiadowczych. W odróżnieniu od klasycznego cyberprzestępstwa, celem nie były dane finansowe czy szantaż, lecz długoterminowe pozyskiwanie informacji strategicznych i osłabianie pozycji Zachodu.

Amazon disrupts watering hole campaign by Russia’s APT29 | AWS Security Blog

RECOMMENDED FOR YOU

Loading...
Newer Post
Older Post

COMMENTS

WORDPRESS: 0

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

DISQUS: