توقف حمله‌ی «واترینگ هول» توسط آمازون

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، تیم اطلاعات تهدید آمازون اعلام کرد در ماه اوت یک کارزار موسوم به واترینگ هول (Watering Hole) را شناسایی کرده که در آن هکرها یک وب‌سایت معتبر را آلوده کرده و بازدیدکنندگان را به زیرساخت‌های مخرب هدایت می‌کردند.

مدیر ارشد امنیت اطلاعات آمازون، سی‌جی موزس، بیان کرد که این حمله کار گروه APT29 که با نام‌های بلو براوو (BlueBravo) و کوزی بیر (Cozy Bear) نیز شناخته می‌شود، بوده است؛ گروهی بدنام که مقام‌های آمریکایی از مدت‌ها پیش آن را به سرویس اطلاعات خارجی روسیه (SVR) نسبت داده‌اند.

موزس توضیح داد که آمازون این فعالیت‌ها را از طریق شاخص‌هایی شناسایی کرده که به طور خاص برای ردیابی APT29 طراحی شده بودند.

آن‌ها دامنه‌های تحت کنترل هکرها را کشف کرده و تحقیقات بیشتر نشان داد وب‌سایت‌های معتبر دیگری نیز با تزریق کدهای جاوااسکریپت مخرب مورد نفوذ قرار گرفته‌اند.

حدود ۱۰ درصد از بازدیدکنندگان وب‌سایت‌های آلوده به دامنه‌هایی تحت کنترل روسیه هدایت شدند، از جمله findcloudflare[.]com که برای تقلید از صفحات تأیید هویت کلودفلیر (Cloudflare) طراحی شده بود.

موزس اظهار کرد:

هدف نهایی این کارزار، جریان احراز هویت کد دستگاه مایکروسافت بود. هیچ‌گونه نفوذی به سیستم‌های خدمات وب آمازون (AWS) رخ نداد و تأثیر مستقیمی بر خدمات یا زیرساخت آن نیز مشاهده نشد.

آمازون زمان دقیق این عملیات را اعلام نکرد، اما توضیح داد که در گذشته نیز شاهد بوده که دیگر مهاجمان سایبری از حملات «واترینگ هول» استفاده کرده‌اند.

طبق نوشته موزس، در اکتبر ۲۰۲۴ آمازون عملیات دیگری از APT29 را مختل کرد که در آن از دامنه‌های فیشینگ شبیه به خدمات وب آمازون استفاده شده بود.

او همچنین افزود که تیم اطلاعات تهدید گوگل در ژوئن همان سال کارزار فیشینگ دیگری را کشف کرد که دانشگاهیان و منتقدان روسیه را هدف گرفته بود.

گروه APT29 برای پنهان‌سازی کدهای مخرب در وب‌سایت‌های معتبر تلاش زیادی کرده و تنها درصد کمی از بازدیدکنندگان را به صورت تصادفی هدایت می‌کرد تا شناسایی نشود.

موزس تاکید کرد:

پس از کشف این کارزار، آمازون به سرعت نمونه‌های آلوده‌ی EC2 را ایزوله کرده، با کلودفلیر و دیگر ارائه‌دهندگان همکاری نمود تا دامنه‌های تحت کنترل هکرها را مختل کند و اطلاعات مرتبط را با مایکروسافت به اشتراک گذاشت. پس از این اختلال، هکرها تلاش کردند دامنه‌های دیگری ثبت کنند تا کارزار را ادامه دهند. با وجود تلاش این عامل برای انتقال به زیرساخت جدید، از جمله مهاجرت از خدمات وب آمازون به یک ارائه‌دهنده دیگر، تیم ما همچنان عملیات آن‌ها را ردیابی و مختل کرد.

به گفته موزس، کارزار «واترینگ هول» که آمازون متوقف کرد، شواهد بیشتری است از اینکه روسیه همچنان بر جمع‌آوری اطلاعات و سرقت اعتبارنامه‌ها متمرکز است.

وزارت دادگستری و اداره تحقیقات فدرال آمریکا پیش‌تر دو دامنه تحت سوءاستفاده APT29 را توقیف کرده بودند که بخشی از یک کارزار گسترده «اسپیر فیشینگ» در سال ۲۰۲۱ بود و سازمان‌های دولتی، اندیشکده‌ها، مشاوران و نهادهای غیردولتی را هدف گرفته بود.

گروه APT29 یکی از فعال‌ترین گروه‌های هکری روسیه است که به انجام چندین حمله مهم در دهه گذشته متهم شده است؛ از جمله حمله به سولارویندز (SolarWinds) در سال ۲۰۲۰ و حمله به کمیته ملی دموکرات‌ها در سال ۲۰۱۶.

همچنین این گروه ظاهراً مسئول نفوذ گسترده به حساب‌های ایمیل شرکتی مایکروسافت در سال ۲۰۲۴ بوده که پیام‌های مربوط به چندین سازمان فدرال آمریکا را نیز شامل می‌شد.

کشورهای دیگری نیز حوادث سایبری مهمی را به این گروه نسبت داده‌اند، از جمله آلمان، بریتانیا، مجارستان، اوکراین، جمهوری آذربایجان و غیره.