AWS חסמה מתקפת סייבר רוסית

צוות מודיעין האיומים של AWS, הענן של אמזון, סיכל באחרונה מתקפת סייבר מסוג "בור מים", שביקשה לנצל את זרימות האימות של מיקרוסופט. מסע התקיפה מיוחס לקבוצת הסייבר רוסית APT29, הידועה גם בכינויה דובי חמים ונעים (Cozy Bear), ופועלת בחסות הקרמלין.

סי. ג'יי. מוזס, מנהל האבטחה של AWS, חשף בפוסט שפרסם פרטים על הקמפיין. הוא ציין כי הצוות שלו זיהה את המתקפות לאחר שגילה שמות דומיין הנשלטים על ידי APT29.

מה זה מתקפת "בור מים?"

מתקפה מסוג "בור מים" היא שיטת התקפה מתוחכמת, שבה התוקפים מדביקים אתר אינטרנט לגיטימי בנוזקה, ואז ממתינים שמשתמשים יבקרו באתר. כאשר גולש נכנס לאתר הנגוע, הנוזקה מוזרקת באופן אוטומטי למחשב שלו, ובכך מאפשרת לתוקפים לחדור לרשת הארגונית, להשבית ולשבש מערכות, לאסוף אישורים, לקצור מידע ולרגל בסייבר.

במתקפה נגד AWS, חוקרי האבטחה של אמזון זיהו אתרים לגיטימיים שונים, שנפגעו עם קוד ג'אווה סקריפט. זה הפנה כ-10% מהמבקרים לדומיינים הנשלטים על ידי APT29. במקרה זה, מטרת התוקפים, לפי החוקרים, הייתה להערים על המשתמשים: לאשר מכשירים הנשלטים על ידי התוקפים, ולעשות זאת באמצעות זרימת אימות קוד המכשיר של מיקרוסופט, Microsoft Auth.

"לא הייתה פגיעה במערכות AWS ולא נצפתה השפעה ישירה על השירותים או התשתית שלה", כתב מוזס.

ניתוח הקוד חשף טכניקות התחמקות רבות, שנועדו למנוע את זיהוי התוקפים. בנוסף, כאשר ההגנות חסמו את הפעילות הזדונית, שחקני האיום עברו במהירות לדומיינים ולשרתים חדשים, תוך שמירה על "חוסן תפעולי".

APT29 בקצרה

APT29 היא קבוצת תקיפת סייבר רוסית, הידועה גם בשמות נובליום, Midnight Blizzard וכאמור, דובי חמים ונעים. היא פועלת תחת SVR, שירות ביון החוץ של רוסיה. APT29 היא קבוצת האקרים ותיקה – היא פעילה לפחות מ-2008. הקבוצה מתמקדת בממשלות, מכוני מחקר וארגוני חשיבה ברחבי העולם, וידועה במיוחד בשל מעורבותה באירועי פריצה בסייבר משמעותיים, כמו לוועידת המפלגה הדמוקרטית בארצות הברית ב-2015-2016 ולסולארווינדס ב-2019.

הקבוצה ידועה בהתמחותה בפעולות ריגול ואיסוף מודיעין נגד ממשלות ותעשיות קריטיות, אך באחרונה היא נצפתה מרחיבה את היקף היעדים שלה. בין השאר, היא הייתה מעורבת בכמה קמפיינים של דיוג חנית, כולל מתקפת פישינג בנושא טעימות יין שכוונה נגד דיפלומטים אירופיים באפריל 2025 וקמפיין נגד קיר ג'יילס, מומחה בריטי לפעולות מידע רוסיות, ביוני 2025.

לדברי צוות מודיעין האיומים של אמזון, "מתקפת 'בור המים' החדשה הזו ממחישה את ההתפתחות המתמשכת של APT29 בהרחבת הפעילות ומאמצי איסוף המודיעין שלה".