A Amazon anunciou ter bloqueado uma campanha de espionagem digital altamente sofisticada contra usuários do Microsoft 365. O ataque foi atribuído ao APT29 ligado ao governo russo, também conhecido como Cozy Bear ou Midnight Blizzard, um dos grupos de hackers mais temidos do mundo que direcionou uma campanha contra contas corporativas.

Os criminosos digitais usaram técnicas avançadas como ataques Watering Hole que segundo a Amazon e Phishing de código de dispositivo (que “utiliza sites comprometidos para redirecionar visitantes a uma infraestrutura maliciosa projetada para induzir os usuários a autorizar dispositivos controlados pelo invasor por meio do fluxo de autenticação de código de dispositivo da Microsoft”), explorando processos legítimos de autenticação para enganar vítimas. Apesar da engenhosidade, a ação foi interrompida graças à atuação conjunta da Amazon, da Microsoft e da Cloudflare.
O que é o APT29?
O APT29 é um dos grupos de hackers mais temidos do mundo. Também chamado de Cozy Bear ou Midnight Blizzard, ele é vinculado ao Serviço de Inteligência Estrangeira da Rússia. Ao contrário de grupos que usam ransomware para extorquir dinheiro, o APT29 foca na espionagem.
Leia também: Microsoft alerta sobre a atualização do Windows Defender para as novas instalações de patchs do Windows 10 e 11
Seus alvos costumam ser governos, empresas estratégicas e organizações internacionais. Um dos episódios mais notórios foi o ataque à cadeia de suprimentos da SolarWinds, que impactou órgãos públicos e empresas globais. Outro caso foi a invasão ao Comitê Nacional Democrata do EUA, durante as eleições de 2016.
O ponto forte do APT29 é a paciência. Muitas vezes, eles permanecem meses ou até anos infiltrados em sistemas sem serem detectados, coletando dados sensíveis.
Como funcionava o ataque ao Microsoft 365
O grupo usou a estratégia chamada Watering Hole, que significa “poço de água”. Em vez de enviar links suspeitos por e-mail, eles comprometem sites legítimos que as vítimas já acessam no dia a dia.
Esses sites infectados redirecionam uma parte dos visitantes (cerca de 10%) para páginas controladas pelo hackers. O código malicioso era camuflado usando Base64, uma forma de codificação que oculta scripts, e cookies eram usados para evitar redirecionar a mesma vítima várias vezes.
Após o redirecionamento, a vítima era levada ás páginas falsas que imitavam verificações de segurança da Cloudflare. Na sequência, os hackers exploravam o recurso legítimo de login da Microsoft chamado “Device Code Authentication”, usado normalmente em dispositivos sem teclado, como as Smart TVs e consoles. O usuário digita o código exibido em outro dispositivo a fim de autorizar o acesso de forma segura.
O truque era simples e eficaz: o usuário digitava em sua conta um código fornecido pelos hackers, acreditando estar em um processo legítimo de autenticação. Na prática, essa técnica de engenharia social é conhecida como phishing de código de dispositivo, e autorizava dispositivos controlados pelos invasores a acessar a conta da Microsoft 365 da vítima. Essa técnica é altamente eficaz, porque explora a confiança do usuário em processo legítimos de autenticação.
Amazon interrompe ataque
A equipe de inteligência de ameaças da Amazon detectou domínios suspeitos usados pelos hackers e descobriu que parte da infraestrutura maliciosa rodava em instâncias do Amazon EC2.
Os servidores foram rapidamente isolados e, com a ajuda da Microsoft e da Cloudflare, os domínios fraudulentos foram derrubados. Mesmo quando o grupo tentou registrar novos sites, as tentativas foram monitoradas e bloqueadas.
Segundo CJ Moses, diretor de segurança da Amazon, a ação reforça como a cooperação entre grandes provedores de tecnologia é essencial para impedir ataques patrocinados por Esatdos.
O que empresas e usuários devem fazer para se proteger
A operação do APT29 mostra que não basta proteger apenas senhas. É preciso adotar uma postura de segurança mais ampla. Algumas medidas recomendadas, são:
- Atenção a solicitações inesperadas: Se surgir um pedido de autorização de dispositivo que você não iniciou, desconfie. Esse é um dos sinais mais claros de golpe.
- Habilitar autenticação multifator: O MFA é uma barreira importante, mas deve ser aplicada com métodos resistentes a phishing, como aplicativos autenticadores ou chaves físicas, evitando depender apenas de SMS.
- Revisar permissões de aplicativos e dispositivos: No Microsoft 365 e em outras plataformas, verifique regularmente quais aplicativos têm acesso à sua conta. Revogue qualquer um que pareça suspeito ou que você não reconheça.
- Monitoramento ativo em empresas: Administradores devem aplicar políticas de acesso condicional, monitorar eventos de login suspeitos e desativar métodos de autenticação que não sejam necessários.
O episódio mostra que o APT29 continua evoluindo. Em vez de depender de e-mails de phishing, agora eles exploram mecanismos de autenticação legítimos. Isso torna a detecção muito mais difícil. Técnicas como Watering Hole e phishing de código de dispositivo mostram que os hackers estão sempre encontrando maneiras criativas de enganar suas vítimas. Mais do que isso, reforça a importância de colaboração entre as gigantes da tecnologia. A ação da Amazon não protegeu apenas seus clientes, mas empresas e os governos que usam o Microsoft 365 em todo mundo.