کمیته رکن چهارم– شرکت آمازون موفق شد کمپین جاسوسی پیشرفتهای را که توسط گروه هکری روسی APT29 طراحی شده بود شناسایی و مختل کند. این حمله با هدف سرقت اعتبارنامههای کاربران از طریق سوءاستفاده از سیستم احراز هویت مایکروسافت انجام شده بود.
به گزارش کمیته رکن چهارم، مهاجمان با استفاده از تکنیک watering hole ابتدا وبسایتهای قانونی را هک و کد جاوااسکریپت مخرب در آنها تزریق کرده بودند. در مرحله بعد، کاربران به دامنههای جعلی هدایت میشدند تا در ظاهر صفحهای مشابه Cloudflare، کدی را وارد کنند که از سوی هکر تولید شده بود. وارد کردن این کد در صفحه ورود مایکروسافت، عملاً کنترل کامل حساب Microsoft 365 کاربر را در اختیار مهاجم قرار میداد.
هکری روسی APT29 که با نامهایی مانند Cozy Bear و Cloaked Ursa نیز شناخته میشود، یکی از گروههای هکری وابسته به سرویس اطلاعات خارجی روسیه است و سابقهای طولانی در حملات به نهادهای دولتی غرب دارد. این گروه از روشهای پیشرفتهای برای پنهانسازی فعالیتهای خود استفاده میکند، از جمله رمزنگاری کدهای مخرب، استفاده از کوکی برای جلوگیری از ریدایرکت مجدد، و جابجایی مداوم زیرساختها در صورت شناسایی.
آمازون اعلام کرده که تیم امنیتی این شرکت موفق به شناسایی دامنههای مرتبط با این حمله شده و با وجود ثبت دامنههای جدید توسط مهاجمان، فعالیت آنها را بهطور پیوسته تحت نظر داشته و مختل کرده است. کارشناسان توصیه میکنند کاربران هرگز کدی را که توسط منبع ناشناس ارائه شده وارد نکنند و نسبت به صفحات جعلی هشداردهنده آگاه باشند.
این حمله نشاندهنده آن است که حتی فناوریهای امنیتی رسمی مانند احراز هویت دو مرحلهای نیز در صورت استفاده ناآگاهانه میتوانند به ابزار نفوذ تبدیل شوند.
