Amazon Sventa un Attacco di APT29 contro Microsoft 365
Amazon ha recentemente neutralizzato una sofisticata campagna di phishing orchestrata dal gruppo russo APT29 (noto anche come Midnight Blizzard), legato all’SVR, il servizio di intelligence estero russo. L’attacco mirava a compromettere account Microsoft 365 sfruttando il flusso di autenticazione del codice dispositivo (device code authentication flow). Grazie all’intervento tempestivo del team di threat intelligence di Amazon, l’operazione è stata interrotta, proteggendo gli utenti da potenziali violazioni.
Come funzionava l’attacco
La campagna, definita di tipo watering hole, utilizzava siti web legittimi compromessi per:
- Iniettare JavaScript malevolo: reindirizzava gli utenti verso domini controllati dagli attaccanti, mascherati da pagine di verifica Cloudflare.
- Sfruttare l’autenticazione di Microsoft: induceva gli utenti ad autorizzare dispositivi controllati dagli hacker, consentendo l’accesso non autorizzato agli account Microsoft 365.
- Evitare il rilevamento: utilizzava tecniche come la codifica base64 e un sistema basato su cookie per limitare i reindirizzamenti ripetuti, riducendo i sospetti.
I domini malevoli, come cloudflare[.]redirectpartners[.]com, erano progettati per ingannare gli utenti, facendoli credere di interagire con servizi legittimi.
L’intervento di Amazon
Il team di threat intelligence di Amazon ha:
- Identificato l’infrastruttura malevola: grazie a un’analisi specifica per le tattiche di APT29, ha individuato i domini compromessi.
- Isolato le istanze EC2: ha bloccato i server Amazon Web Services (AWS) utilizzati dagli attaccanti.
- Collaborato con Cloudflare e Microsoft: ha contribuito a disattivare i domini malevoli e a interrompere la campagna.
- Monitorato le migrazioni: ha tracciato i tentativi di APT29 di spostare l’infrastruttura su altri provider cloud, registrando nuovi domini per continuare l’attacco.
Amazon ha confermato che i suoi sistemi non sono stati compromessi durante l’operazione e ha condiviso i risultati con la comunità di sicurezza per prevenire ulteriori attacchi.
Consigli per la sicurezza
Per proteggere gli account Microsoft 365, Amazon e gli esperti di sicurezza raccomandano:
- Attivare l’autenticazione a più fattori (MFA): riduce significativamente il rischio di accesso non autorizzato.
- Verificare le richieste di autorizzazione: controllare attentamente le richieste di autenticazione del codice dispositivo.
- Monitorare i log di autenticazione: cercare attività insolite, come autorizzazioni di dispositivi sconosciuti.
- Disabilitare il flusso di autenticazione del codice dispositivo: se non necessario, per ridurre la superficie di attacco.
- Implementare policy di accesso condizionato: limitare l’accesso in base a fattori come posizione, stato del dispositivo e livello di rischio.
Impatto e prospettive future
L’intervento di Amazon evidenzia l’evoluzione delle tattiche di APT29, che continua a perfezionare i metodi di raccolta di credenziali. La collaborazione tra Amazon, Cloudflare e Microsoft dimostra l’importanza di una risposta coordinata per contrastare minacce avanzate. Tuttavia, la rapida migrazione degli attaccanti verso nuovi provider cloud sottolinea la necessità di una vigilanza costante.
Con l’aumento delle minacce informatiche, in particolare da gruppi sponsorizzati da stati come APT29, le organizzazioni devono adottare misure proattive per proteggere i propri dati e rafforzare la sicurezza di piattaforme come Microsoft 365.