Amazon thotë se ndaloi hakerët rusë që synonin hyrjet në Microsoft, ndërsa Cozy Bear godet sërish
Ekspertët e sigurisë së Amazon thonë se ata kanë penguar një fushatë të re “fushate shkatërruese” të kryer nga grupi rus i aktorëve të kërcënimeve i sponsorizuar nga shteti, i njohur si APT29 (Midnight Blizzard, ose Cozy Bear).
Një sulm “waterhole” ndodh kur kriminelët kibernetikë injektojnë programe keqdashëse në një faqe interneti që zakonisht vizitohet nga një grup specifik njerëzish, duke shpresuar të kompromentojnë pajisjet e tyre kur ata hyjnë në të.
Në këtë rast, APT29 arriti të kompromentonte disa faqe interneti dhe i përdori ato për t’i ridrejtuar viktimat në domene të tjera të kontrolluara nga sulmuesit.
Nuk dihet se cilat faqe interneti janë infektuar, ose sa ka pasur, por aktorët kërcënues zakonisht vjedhin, ose thjesht hamendësojnë, kredencialet e hyrjes së faqeve të internetit të mbrojtura dobët, rrisin privilegjet e tyre nga brenda dhe më pas fshehin kodin keqdashës në sy të publikut.
APT29 përdori faqet për të ridrejtuar viktimat në dy domene keqdashëse: findcloudflare[.]com dhe cloudflare[.]redirectpartners[.]com. Atje, ata do të imitonin rrjedhën e zakonshme të vërtetimit të kodit të pajisjes së Microsoft, në një përpjekje për t’u identifikuar në llogaritë Microsoft të viktimave të tyre.
“Fushata aktuale tregon fokusin e tyre të vazhdueshëm në mbledhjen e kredencialeve dhe inteligjencës, me përmirësime në qasjen e tyre teknike, dhe demonstron një evolucion në mjeshtërinë e APT29 përmes aftësisë së tyre për të kompromentuar faqet e internetit legjitime dhe fillimisht për të injektuar JavaScript të paqartë, për të përshtatur me shpejtësi infrastrukturën kur përballen me ndërprerje dhe, në infrastrukturën e re, për t’u përshtatur nga përdorimi i ridrejtimeve JavaScript në ridrejtime nga ana e serverit”, tha Amazon në raportin e saj.
Amazon tha gjithashtu se afërsisht 10% e vizitorëve të faqeve të internetit të kompromentuara po ridrejtoheshin në domene të kontrolluara nga sulmuesit. Sistemet AWS nuk u kompromentuan dhe nuk kishte ndikim të drejtpërdrejtë në shërbimet dhe infrastrukturën e AWS.
Për të trajtuar kërcënimin, kompania izoloi instancat EC2 të prekura dhe, me ndihmën e Cloudflare, ndërpreu funksionimin e domeneve dhe njoftoi Microsoft-in.
Sulmuesit më pas u përpoqën të zhvendoseshin në një domen tjetër, por edhe ai u bllokua shpejt.
Për të zbutur rreziqet e mundshme, përdoruesit duhet të vendosin një ngrirje krediti (ose një alarm mashtrimi) në të tre zyrat e kreditit, duke parandaluar hapjen e llogarive të reja të kreditit në emrin e tyre pa miratim.
Ata gjithashtu duhet të monitorojnë raportet e tyre të kreditit dhe të përdorin ofertën e TransUnion për monitorim falas të vjedhjes së identitetit.
Së fundmi, ata duhet t’i monitorojnë nga afër llogaritë e tyre financiare dhe të jenë tepër të kujdesshëm me email-et hyrëse dhe komunikimet e tjera. Meqenëse sulmuesit tani i dinë informacionet e tyre të kontaktit, ata mund të dërgojnë email-e, mesazhe ose telefonata të rreme bindëse duke u shtirur si banka, agjenci qeveritare apo edhe vetë TransUnion.