Amazon Gagalkan Serangan Hacker APT29 Rusia yang Menargetkan Microsoft 365
Amazon berhasil menggagalkan kampanye serangan siber canggih yang dilakukan oleh kelompok peretas negara Rusia APT29, juga dikenal sebagai Midnight Blizzard, yang menargetkan akun Microsoft 365 milik organisasi dan individu.
APT29 telah lama dikaitkan dengan Dinas Intelijen Luar Negeri Rusia (SVR), dan dikenal atas taktik phishing canggihnya yang sebelumnya telah menargetkan kedutaan besar Eropa, Hewlett Packard Enterprise, dan TeamViewer.
Serangan Watering Hole: Target Acak, Teknik Canggih
Melalui kampanye watering hole, APT29 memanfaatkan situs web sah yang telah mereka kompromikan, lalu menyisipkan JavaScript berbahaya yang secara acak mengalihkan sekitar 10% pengunjung ke situs berbahaya yang meniru halaman verifikasi Cloudflare, seperti:
findcloudflare[.]comcloudflare[.]redirectpartners[.]com
Setelah dialihkan, korban dipandu ke alur autentikasi perangkat Microsoft palsu, bertujuan untuk mengelabui mereka agar memberikan otorisasi ke perangkat yang dikendalikan penyerang.
Untuk menghindari deteksi, sistem berbasis cookie digunakan agar pengguna tidak diarahkan ke situs berbahaya lebih dari satu kali, mengurangi kemungkinan kecurigaan.
Amazon, Cloudflare, dan Microsoft Bekerja Sama
Tim intelijen ancaman Amazon menemukan infrastruktur APT29 setelah membangun sistem analitik yang mendeteksi pola infrastruktur mereka. Setelah diidentifikasi:
- Amazon mengisolasi instansi EC2 yang digunakan oleh pelaku
- Bekerja sama dengan Cloudflare dan Microsoft untuk memutus domain berbahaya
- Melacak perpindahan infrastruktur ke penyedia cloud lain dan pendaftaran domain baru
Menurut CJ Moses, Chief Information Security Officer Amazon, timnya terus memantau aktivitas APT29 dan berhasil menggagalkan upaya lanjutan mereka.
Taktik Baru APT29: Tidak Lagi Gunakan Domain AWS Palsu
Berbeda dengan kampanye sebelumnya, APT29 kini tidak lagi menyamar sebagai domain AWS dan tidak lagi menggunakan social engineering untuk melewati MFA. Pendekatan teknis mereka mengalami penyempurnaan, dengan tujuan tetap sama: mengumpulkan kredensial dan intelijen.
Amazon menegaskan bahwa tidak ada infrastruktur mereka yang berhasil dikompromikan, dan layanan Amazon tetap aman sepenuhnya.
Rekomendasi Keamanan untuk Pengguna dan Admin
Untuk pengguna akhir:
- Verifikasi permintaan otorisasi perangkat
- Aktifkan Multi-Factor Authentication (MFA)
- Hindari menyalin perintah dari situs web ke sistem Anda
Untuk administrator sistem:
- Nonaktifkan fitur otorisasi perangkat yang tidak diperlukan
- Terapkan kebijakan akses bersyarat
- Pantau log autentikasi untuk aktivitas mencurigakan
