Amazon ha sequestrato alcuni domini usati dal gruppo APT29 (noto anche come Midnight Blizzard o Cozy Bear) per effettuare attacchi contro organizzazioni governative e militari. L’obiettivo dei cybercriminali russi è accedere ai computer da remoto e rubare le credenziali di Windows, insieme ad altri dati sensibili. Si tratta in pratica di una classica attività di cyberspionaggio.
Domini che sembrano di Amazon Web Services
Il principale target del gruppo è ovviamente l’Ucraina. Il Computer Emergency Response Team (CERT) ha pubblicato un avviso di sicurezza che descrive l’attacco rilevato lo scorso 22 ottobre. Diversi dipendenti di agenzie governative e militari hanno ricevuto email di phishing relative ad un presunto (inesistente) problema di integrazione con i servizi di Amazon e Microsoft.
In allegato all’email c’era un file di configurazione RDP (Remote Desktop Protocol) che ha consentito il collegamento automatico ai server controllati dai cybercriminali russi. Questi ultimi potevano quindi accedere da remoto a numerose risorse locali (file, dischi, stampanti, porte, clipboard, audio) ed eseguire malware o script sul computer. Oltre alle credenziali di Windows, gli attacchi hanno consentito di rubare dati dai dispositivi condivisi in rete.
Le email di phishing sono state inviate anche ad organizzazioni governative e militari occidentali che appoggiano l’Ucraina. Per ingannare i destinatari sono stati usati domini che sembrano appartenere ad Amazon Web Services (AWS). In realtà non sono domini dell’azienda di Seattle.
Amazon ha quindi avviato la procedura di sequestro dei domini che impersonano AWS per interrompere le attività del gruppo APT29. Il CERT dell’Ucraina consiglia di bloccare i file RDP a livello di mail gateway, configurare il firewall per restringere l’accesso RDP da fonti esterne e impedire agli utenti di eseguire i file RDP.
Aggiornamento (30/10/2024): Microsoft ha pubblicato altri dettagli sull’attacco di spear phishing.