Amazon ha recentemente sequestrato una serie di domini utilizzati da hacker russi per condurre attacchi di phishing. CJ Moses, Chief Information Security Officer di Amazon, ha rivelato in un post sul blog che l'attore russo sponsorizzato dallo Stato, noto come Midnight Blizzard (o APT29), è stato individuato mentre eseguiva un attacco di phishing su vasta scala rivolto a agenzie governative, aziende e strutture militari.
Questi attacchi si presentavano come comunicazioni legittime da parte di Amazon Web Services (AWS), la divisione cloud dell'azienda, utilizzando e-mail di phishing redatte in lingua ucraina. Questo intervento sottolinea l'impegno di Amazon nella lotta contro la criminalità informatica e nella protezione delle informazioni sensibili dei propri utenti.
Attacchi di Midnight Blizzard
L'obiettivo della campagna di Midnight Blizzard non era tanto quello di colpire AWS o di rubare le credenziali AWS, ma piuttosto di ottenere credenziali Windows da utilizzare attraverso Microsoft Remote Desktop. CJ Moses ha spiegato che, appena l'azienda è venuta a conoscenza di queste attività, ha avviato immediatamente il processo di sequestro dei domini abusati, che impersonavano AWS, per interrompere l'operazione. Inoltre, il CERT-UA, il Computer Emergency Response Team dell'Ucraina, ha pubblicato un avviso con ulteriori dettagli sul suo intervento.
Midnight Blizzard è già noto per essere stato dietro attacchi significativi, incluso un attacco a Microsoft che ha costretto l'azienda a rivedere le proprie politiche di sicurezza. Nel 2024, Microsoft ha rivelato di essere stata compromessa, con accessi non autorizzati agli account di posta elettronica di reparti chiave, come quello di cybersicurezza e legale. La violazione ha coinvolto anche account di organizzazioni esterne, portando a critiche sia dalla comunità della sicurezza informatica che dal governo. In risposta a queste preoccupazioni, Microsoft ha lanciato la Secure Future Initiative, un impegno per una revisione completa della sicurezza.