Đội ngũ an ninh mạng của Amazon đã thành công trong việc ngăn chặn một chiến dịch watering hole tinh vi do APT29, một nhóm tin tặc khét tiếng liên kết với Cơ quan Tình báo Đối ngoại của Nga, dàn dựng. Chiến dịch này là một minh chứng rõ ràng cho tính chất dai dẳng của các mối đe dọa mạng do nhà nước bảo trợ, đòi hỏi sự cảnh giác liên tục và hợp tác chặt chẽ từ cộng đồng bảo mật.

Hoạt động được thực hiện vào tháng 8 năm 2025 này đại diện cho chương mới nhất trong cuộc chiến tranh không gian mạng đang diễn ra giữa các gã khổng lồ công nghệ và các tác nhân đe dọa được nhà nước hậu thuẫn, những kẻ luôn tìm cách xâm nhập vào các mạng lưới toàn cầu và thu thập thông tin xác thực nhạy cảm. APT29, còn được biết đến với tên gọi Midnight Blizzard, đã thể hiện khả năng thích ứng đáng kể trong các phương pháp tấn công xuyên suốt năm 2024 và 2025.

Chiến thuật tấn công mới của APT29

Chiến dịch này đánh dấu một sự thay đổi chiến thuật đáng kể so với các hoạt động trước đây, cho thấy khả năng phát triển của nhóm dưới áp lực từ các chuyên gia bảo mật. Không giống như chiến dịch tháng 10 năm 2024 của họ, vốn dựa vào việc mạo danh miền AWS để phân phối các tệp Remote Desktop Protocol (RDP) độc hại, phương pháp tiếp cận mới nhất của APT29 liên quan đến việc xâm nhập các trang web hợp pháp và tiêm mã JavaScript bị che giấu.

Kỹ thuật Watering Hole và Che giấu tinh vi

Các tác nhân tấn công đã chuyển hướng một cách chiến lược chỉ 10% lượng khách truy cập trang web mục tiêu đến các trang lừa đảo để tránh bị phát hiện. Cách tiếp cận có tính toán này giúp tối đa hóa tác động trong khi giảm thiểu rủi ro bị lộ diện. Sự tinh vi về kỹ thuật của nhóm thể hiện rõ qua việc sử dụng nhiều kỹ thuật né tránh, cho phép họ duy trì an toàn hoạt động trong khi mở rộng phạm vi tìm kiếm nạn nhân tiềm năng.

Các cải tiến chiến thuật chính bao gồm:

• Tiêm mã JavaScript bị che giấu vào các trang web hợp pháp.
• Sử dụng cơ chế chuyển hướng khách truy cập theo tỷ lệ phần trăm thấp.
• Liên tục thay đổi cơ sở hạ tầng để tránh bị chặn.

Mục tiêu khai thác: Hệ thống xác thực thiết bị của Microsoft

Mục tiêu cuối cùng của chiến dịch tập trung vào việc khai thác hệ thống xác thực mã thiết bị của Microsoft, một tính năng hợp pháp cho phép người dùng ủy quyền các thiết bị mới để truy cập tài khoản. APT29 đã tạo ra các trang xác minh Cloudflare giả mạo rất thuyết phục trên các miền như findcloudflare[.]com. Các trang này được thiết kế để lừa người dùng ủy quyền các thiết bị do kẻ tấn công kiểm soát thông qua quy trình xác thực của Microsoft.

Danh sách các chỉ số thỏa hiệp (IOCs) bao gồm các tên miền được sử dụng trong chiến dịch:

• findcloudflare[.]com
• cloudflare[.]redirectpartners[.]com

Phát hiện và Phản ứng của Amazon đối phó “tấn công mạng”

Đội ngũ tình báo mối đe dọa của Amazon đã phát hiện ra hoạt động này thông qua các công cụ phân tích chuyên biệt, được thiết kế để phát hiện các mẫu cơ sở hạ tầng của APT29. Cuộc điều tra đã tiết lộ rằng các tác nhân Nga đã thành công trong việc xâm nhập nhiều trang web hợp pháp, biến chúng thành những công cụ không chủ ý trong chiến dịch thu thập thông tin tình báo của họ. Việc phát hiện kịp thời đã giúp ngăn chặn một cuộc tấn công mạng quy mô lớn hơn.

Điều quan trọng, Amazon đã xác nhận tại đây rằng không có hệ thống AWS nào bị xâm phạm trong quá trình hoạt động, và không có tác động trực tiếp nào đến các dịch vụ hoặc cơ sở hạ tầng của AWS.

Thích nghi nhanh chóng và Vai trò của Threat Intelligence

Khi Amazon và các đối tác tiến hành phá vỡ cơ sở hạ tầng ban đầu, APT29 đã nhanh chóng thích nghi bằng cách di chuyển hoạt động sang các nhà cung cấp dịch vụ đám mây khác và đăng ký các miền mới. Trò chơi “mèo vờn chuột” này đã làm nổi bật tính chất dai dẳng của các hoạt động mạng do nhà nước bảo trợ và sự cần thiết của cảnh giác liên tục từ các chuyên gia bảo mật. Đối phó với các mối đe dọa mạng như vậy đòi hỏi sự nhanh nhạy và khả năng dự đoán.

Phản ứng của Amazon chứng tỏ tầm quan trọng của quan hệ đối tác công-tư trong việc chống lại các mối đe dọa mạng tinh vi. Ngay sau khi phát hiện chiến dịch, Amazon đã lập tức phối hợp với nhiều đối tác trong ngành, bao gồm Cloudflare và Microsoft, để cô lập các hệ thống bị xâm nhập và chia sẻ thông tin tình báo mối đe dọa. Công ty cũng đã làm việc để vô hiệu hóa các miền của kẻ tấn công và cung cấp thông tin quan trọng để giúp các tổ chức khác bảo vệ người dùng của họ.

Các Biện pháp Phòng ngừa và Khuyến nghị tăng cường “an ninh mạng”

Các chuyên gia bảo mật khuyến nghị các tổ chức nên triển khai các biện pháp bảo vệ mạnh mẽ, bao gồm xác thực đa yếu tố bắt buộc (MFA) tại đây, xác minh cẩn thận các yêu cầu ủy quyền thiết bị và tăng cường giám sát các sự kiện xác thực. Đây là những bước cơ bản nhưng cực kỳ quan trọng để củng cố an ninh mạng tổng thể.

Lời khuyên cho quản trị viên IT

Các quản trị viên IT được khuyến nghị xem xét hướng dẫn xác thực thiết bị của Microsoft và cân nhắc việc vô hiệu hóa tính năng này nếu không cần thiết cho các hoạt động kinh doanh. Việc đánh giá và điều chỉnh cấu hình hệ thống một cách thường xuyên sẽ giúp giảm thiểu bề mặt tấn công. Khả năng đối phó với các mối đe dọa mạng phức tạp phụ thuộc vào việc áp dụng các thực hành bảo mật tốt nhất.

Tầm quan trọng của Cảnh giác liên tục và Hợp tác cộng đồng

Việc ngăn chặn thành công chiến dịch này nhấn mạnh sự phát triển không ngừng của các chiến thuật chiến tranh mạng và nhu cầu thích ứng liên tục của các chuyên gia an ninh mạng. Khi APT29 tiếp tục tinh chỉnh các phương pháp của mình, cộng đồng bảo mật phải duy trì chia sẻ thông tin tình báo hợp tác và chủ động săn lùng mối đe dọa để luôn đi trước những kẻ thù dai dẳng này. Sự hợp tác này là chìa khóa để xây dựng một hàng rào phòng thủ vững chắc trước các mối đe dọa mạng.