Amazon пресекает атаки Cozy Bear на учётки Microsoft
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Amazon заявила о предотвращении очередной атаки со стороны российской хакерской группы APT29 (известной как Cozy Bear или Midnight Blizzard), которая вновь отличилась на ниве цифрового шпионажа. На этот раз хакеры устроили так называемую «водопойную» атаку — излюбленную уловку, когда злоумышленники внедряют вредоносное ПО на сайты, которые часто посещает определённая аудитория, чтобы затем заразить их устройства.
По данным Amazon, APT29 сумели взломать несколько сайтов (точное количество и адреса неизвестны), используя простую схему: сперва похищают учётные данные плохо защищённых ресурсов, получают доступ администратора и прячут вредоносный код прямо на видном месте. После этого жертв отправляли на два подозрительных домена, которые выдавали себя за ресурсы Microsoft — findcloudflare[.]com и cloudflare[.]redirectpartners[.]com — где запускалась фальшивая процедура подтверждения входа в учётную запись Microsoft.
Amazon отмечает, что цель кампании — кража логинов и сбор информации, причём злоумышленники быстро совершенствуют методы, например, переходят с простых JavaScript-перенаправлений на более незаметные серверные технологии, чтобы обходить блокировки и быстрее менять инфраструктуру атаки. По оценке экспертов, до 10% посетителей взломанных сайтов реально попадали в лапы к злоумышленникам.
При этом никаких следов проникновения в собственную инфраструктуру (Amazon Web Services) не обнаружено. Amazon говорит, что вовремя изолировала инфицированные облачные серверы, а с помощью Cloudflare и Microsoft обезвредила вредоносные домены. Попытка перенести атаку на новую площадку у APT29 также провалилась — адрес заблокировали почти сразу.
Пострадавшим нынче советуют не откладывать и поставить "заморозку" или "фрод-алёрт" у всех кредитных бюро, чтобы не открыли кредит без разрешения, внимательно следить за своими счетами и пользоваться бесплатной системой мониторинга от TransUnion. Ещё стоит ожидать подозрительных писем и звонков — теперь ваш номер у киберпреступников есть, так что берегите свои данные даже от тех, кто представляется банком, госорганами или самим TransUnion.
Статья: Amazon предотвратил попытку российской хакерской группы APT29 (Cozy Bear) провести атаку на пользователей Microsoft с помощью так называемой watering hole-кампании. Метод заключался во взломе популярных сайтов и внедрении на них вредоносного ПО, которое перенаправляло посетителей на поддельные сайты под видом Microsoft. Там атакующие собирали пароли пользователей. Хотя точные сайты не называются, известно, что почти 10% посетителей заражённых ресурсов были переадресованы на вредоносные страницы. Amazon совместно с Cloudflare и Microsoft удалось оперативно заблокировать эти домены, а повторная попытка атаки также была пресечена. Для защиты советуют поставить кредитные блокировки, следить за счетами и не верить письмам от 'банков' и 'госорганов'.
Сатирический разбор:
Грозные медведи (Cozy Bear) всё ещё в деле: не успеют пересчитать провалившиеся атаки, как моментально находят новый способ попасть на радары крупнейших компаний. Утомительное шоу продолжается: одинокие цифровые ковбои впервые не только ломают сайты ради развлечения, но и устраивают себе водоёмы, в которых "купается" доверчивый пользователь. Amazon на автоматах ставит кибер-ловушки и играет в догонялки с уже привычными гостями. Cloudflare и Microsoft не отстают: удаляют домены быстрее, чем кто-то сможет проговорить слово "фишинг". Случается и это — вы, совершенно случайно, находитесь в числе тех, кто может ожидать красивые письма и сообщения из "банка" или "госслужбы": вся рутина фальшивой цифровой жизни.
Добро пожаловать в эпоху, где первыми жертвуют временем и нервами ваши данные — остальное потом. Зато каждый раз всё чуть циничнее и абсурднее.