Il 29 agosto 2025 il team di threat intelligence di Amazon ha smantellato una nuova campagna della rete di hacker russa APT29, conosciuta anche come Midnight Blizzard e collegata al servizio segreto estero di Mosca. I criminali avevano compromesso diversi siti legittimi inserendo codice JavaScript offuscato, che reindirizzava circa il 10% dei visitatori verso domini controllati dal gruppo, come findcloudflare[.]com, simulando procedure di verifica di Cloudflare. L’obiettivo era indurre gli utenti ad “autorizzare” dispositivi controllati dagli aggressori tramite il legittimo flusso di autenticazione Device Code di Microsoft, concedendo così accesso ai dati archiviati nei cloud. Secondo Amazon, dopo i primi blocchi APT29 ha tentato di migrare verso altre infrastrutture, registrando nuovi domini, ma la campagna è stata costantemente monitorata e interrotta.
Evoluzione delle tattiche russe verso l’ingegneria sociale
Il caso Amazon rappresenta un ulteriore passo nell’evoluzione pluriennale di APT29. Invece di violare direttamente i dispositivi degli utenti, il gruppo sfrutta meccanismi legittimi di autenticazione per legittimare l’accesso ai dati. Già nel 2024 Microsoft aveva confermato un’intrusione nazionale di Midnight Blizzard nei propri sistemi interni, mentre nel 2025 diverse ondate di attacchi sono state documentate contro Microsoft 365. Google Threat Intelligence e Citizen Lab hanno inoltre descritto campagne che costringevano le vittime a generare “password per applicazioni” su Gmail, consentendo agli hacker di bypassare l’autenticazione a due fattori. Questo spostamento verso la manipolazione psicologica colpisce in particolare accademici, media e organizzazioni non governative negli Stati Uniti.
Rischi per elezioni e istituzioni occidentali
La tecnica di intercettare il traffico da siti legittimi e colpirne una parte casuale costituisce una minaccia significativa per ecosistemi sensibili, come quelli legati a processi elettorali e dibattito pubblico. Università, media regionali, iniziative di beneficenza e centri di ricerca diventano bersagli intermedi, da cui possono essere raccolte credenziali, contatti e calendari utili a successive operazioni di influenza. Anche senza compromettere direttamente le infrastrutture di voto, simili campagne aumentano i rischi di manipolazione e spionaggio sistemico.
Reazioni e prospettive di risposta
L’uso del Device Code Flow, nato per semplificare l’accesso da dispositivi IoT, si sta rivelando un punto debole sfruttato come “cavallo di Troia” per attività di spionaggio. Esperti chiedono ai fornitori di disabilitare per default i flussi di autenticazione a rischio, rafforzare i controlli sugli OAuth e rimuovere rapidamente i domini ingannevoli. Per Amazon si tratta del secondo intervento pubblico contro APT29 in meno di due anni, a conferma della persistenza del gruppo. Considerando il legame diretto con la Svr russa, analisti ritengono che la risposta statunitense debba andare oltre la sola difesa tecnica e includere pressioni diplomatiche e nuove misure sanzionatorie mirate, per far comprendere a Mosca che il cyberspionaggio comporterà conseguenze concrete.
Incredibile come questi hacker riescano a manovrare così bene le tecnologie che dovrebbero proteggerci! Dev’essere una lotta continua per le aziende come Amazon, ma davvero ci si può fidare dell’autenticazione legittima? Forse sarebbe meglio tornare ai metodi “old school” per garantire la sicurezza…