أعلنت شركة أمازون، يوم الجمعة، أنها كشفت وأحبطت حملة خبيثة وُصفت بأنها “هجوم عبر برك المياه” (Watering Hole) نفذتها مجموعة APT29 الروسية المرتبطة بالاستخبارات الخارجية الروسية (SVR)، وذلك في إطار مساعيها لجمع معلومات استخباراتية.
وأوضح رئيس أمن المعلومات في أمازون، سي جي موسيس، أن الحملة استغلت “مواقع مخترقة لإعادة توجيه الزوار نحو بنية تحتية خبيثة تهدف إلى خداع المستخدمين ومنح أجهزة يسيطر عليها المهاجمون صلاحية الوصول عبر تدفق مصادقة الأجهزة في مايكروسوفت”.
مجموعة APT29 وتكتيكاتها المتطورة
تُعرف المجموعة بعدة أسماء أخرى مثل BlueBravo، Cozy Bear، Midnight Blizzard وThe Dukes، وتُعد من أبرز جماعات القرصنة المدعومة من موسكو.
وخلال الأشهر الأخيرة، رُبطت المجموعة بهجمات استهدفت كيانات أوكرانية باستخدام ملفات إعداد خبيثة لبروتوكول سطح المكتب البعيد (RDP) من أجل سرقة بيانات حساسة. كما لوحظ أنها توسعت في أساليب التصيّد، بما يشمل التصيّد عبر رموز الأجهزة والتصيّد عبر ربط الأجهزة لاختراق حسابات Microsoft 365.
وفي يونيو 2025، أعلنت جوجل أنها رصدت حملة مرتبطة بـAPT29 استغلت ميزة “كلمات المرور الخاصة بالتطبيقات” لاختراق رسائل البريد الإلكتروني لضحايا مختارين، وأُسنِدت تلك الحملة إلى مجموعة UNC6293.
تقنيات التمويه والإيهام
وفقاً لفريق استخبارات التهديدات في أمازون، قامت المجموعة بحقن أكواد JavaScript خبيثة في مواقع شرعية لإعادة توجيه ما يقرب من 10% من زوارها نحو نطاقات مزيفة مثل findcloudflare[.]com، والتي بدت وكأنها صفحات تحقق تابعة لـ Cloudflare لإضفاء طابع شرعي وهمي.
وكان الهدف النهائي يتمثل في إقناع الضحايا بإدخال رمز جهاز شرعي تم توليده من قِبل المهاجم في صفحة تسجيل الدخول، ما يمنحهم وصولاً كاملاً إلى حسابات مايكروسوفت الخاصة بالمستهدفين.
كما لجأت الحملة إلى عدة تقنيات للإفلات من الرصد، منها ترميز Base64 لإخفاء الأكواد الضارة، واستخدام ملفات تعريف الارتباط (Cookies) لمنع إعادة التوجيه المتكرر لنفس المستخدم، إضافة إلى تغيير البنية التحتية فوراً عند اكتشافها أو حظرها.
تدخل أمازون وإحباط العمليات
أكدت أمازون أنها لا تمتلك معلومات دقيقة حول عدد المواقع التي تم اختراقها أو الكيفية التي تم بها استغلالها بدايةً، لكنها أوضحت أنها تمكنت من ربط البنية التحتية المستخدمة في الحملة ببنى سابقة منسوبة إلى APT29.
وأضاف موسيس: “رغم محاولات المهاجمين للانتقال إلى بنى جديدة، بما في ذلك التحول من خدمات AWS إلى مزوّد سحابي آخر، واصل فريقنا تتبعهم وتعطيل عملياتهم”.
وأشار إلى أن المجموعة لجأت بعد التدخل إلى تسجيل نطاقات إضافية مثل cloudflare.redirectpartners[.]com، لمحاولة استدراج الضحايا مجدداً عبر تدفق مصادقة أجهزة مايكروسوفت.
