29 августа 2025 года подразделение Amazon по разведке киберугроз выявило и заблокировало масштабную операцию российской хакерской группы APT29, также известной как Midnight Blizzard и связанной со Службой внешней разведки РФ. Злоумышленники взломали ряд легитимных сайтов и внедрили обфусцированный JavaScript-код, который перенаправлял около 10% посетителей на домены, имитирующие проверку Cloudflare, включая findcloudflare[.]com и cloudflare[.]redirectpartners[.]com. На этих страницах пользователям предлагалось «авторизовать» устройство через легитимный Device Code Flow Microsoft, что фактически открывало злоумышленникам доступ к облачным данным.
Сдвиг к социальной инженерии
Данный инцидент стал продолжением тенденции, когда APT29 отказывается от прямых атак на конечные устройства в пользу психологических схем вовлечения пользователей. В июне Google зафиксировал аналогичную кампанию, в ходе которой жертв, включая западных экспертов по России, убеждали самостоятельно сгенерировать «пароли приложений» и передать их злоумышленникам. Такая стратегия позволяет обходить двухфакторную аутентификацию и напрямую проникать в почтовые ящики, что повышает риски для аналитических сообществ и структур, формирующих политику США.
Риски для выборов и гражданского общества
Методология APT29, основанная на компрометации транзитных сайтов и массовом сборе учетных данных, представляет особую угрозу для американских академических учреждений, НПО, исследовательских центров и региональных СМИ. Хотя атаки не направлены напрямую на инфраструктуру голосования, доступ к почтовым ящикам, календарям и контактам создает основу для точечных манипуляций и информационного давления, что усиливает риски гибридного вмешательства в демократические процессы.
Ответ индустрии и необходимость санкций
По мнению экспертов, атаки APT29 демонстрируют уязвимости в механизмах аутентификации, изначально предназначенных для удобства пользователей IoT-устройств. Провайдерам рекомендуется по умолчанию отключать рискованные сценарии входа по коду устройства и жёстче проверять OAuth-приложения. Amazon уже второй раз публично фиксирует и разрушает кампании APT29, что подчеркивает необходимость системного противодействия таким угрозам со стороны индустрии. Учитывая государственный характер группы Midnight Blizzard, американский ответ, по оценкам специалистов, должен включать не только усиление киберзащиты, но и дипломатические меры, а также санкции против операторов инфраструктуры и компаний, игнорирующих злоупотребления.
