Az orosz kibermedve újra Microsoft-fiókokra vadászik

Az Amazon bejelentette, hogy sikeresen megakadályozott egy orosz állami támogatású kémakciót, amelynek célja a Microsoft-felhasználók adatainak és fiókjainak megszerzése volt. Az APT29, más néven Cozy Bear (Lusta Medve) vagy Éjféli Vihar (Midnight Blizzard), közismert az elit körökben, és évek óta fejleszti módszereit a jelszavak és felhasználói adatok megszerzésére. A csoportot nyugati kormányok és biztonsági szakértők szinte biztosan Oroszország hírszerzési szolgálatához, a SZVR-hez kötik.

Új trükk, régi célpontok

Legutóbb az APT29 legitim weboldalakat tört fel, majd rosszindulatú JavaScript kódot helyezett el rajtuk. Ennek segítségével a látogatók mintegy 10 százalékát olyan domainekre irányították át, amelyek a Cloudflare ellenőrző felületeit utánozták. A megtévesztett felhasználókat arra próbálták rávenni, hogy egy általuk generált eszközkódot írjanak be a Microsoft-bejelentkezés során. Ezzel a művelettel a támadók saját eszközeiket hitelesítették, így hozzáférést szerezhettek az áldozatok fiókjaihoz és adataihoz.

Okos trükkök a lebukás elkerülésére

Az AWS szakértői feltárták, hogy az APT29 véletlenszerűen csak egy kis hányadot irányított át, base64 kódolást használt a rosszindulatú kód elrejtésére, sütikkel akadályozta meg az ismételt átirányítást, valamint blokkolás esetén gyorsan új infrastruktúrára váltott. Az AWS rendszereit nem érte közvetlen támadás. Az akciók pontos mérete és konkrét célpontjai ismeretlenek, de hasonló orosz akciók idén is elértek már kormányokat, civil szervezeteket, kutatókat és a védelmi szektort, a Google és a Microsoft szerint pedig az akadémiai világ, valamint Oroszország kritikusai is célkeresztbe kerültek.

2025, adrienne, go.theregister.com alapján