29 августа 2025 года команда Threat Intelligence корпорации Amazon выявила и остановила масштабную кампанию российской хакерской группы APT29, известной также как Midnight Blizzard и связанной с Службой внешней разведки РФ. Злоумышленники взламывали легитимные сайты, внедряли обфусцированный JavaScript и перенаправляли около 10% посетителей на фейковые домены, имитирующие проверку Cloudflare — такие как findcloudflare[.]com. Пользователей убеждали «авторизовать устройство» через легитимный механизм Device Code Flow Microsoft, что фактически предоставляло нападавшим доступ к облачным аккаунтам. Amazon зафиксировала попытки APT29 перейти на новые домены и облака, однако продолжила их блокировать.
Смена тактики: социальная инженерия вместо взлома устройств
Эксперты отмечают, что тактика APT29 смещается от прямого взлома конечных точек к принуждению пользователей самостоятельно легитимизировать доступ атакующих. В июне 2025 года Google задокументировал кампанию UNC6293, где жертв — включая известных западных аналитиков по России — заставляли создавать «пароли приложений» в Gmail и передавать их злоумышленникам. Microsoft и Volexity в 2024–2025 годах фиксировали несколько волн атак на Microsoft 365, при этом Google Threat Intelligence и Citizen Lab описывали методы психологического давления на целевые аудитории.
Риски для США и выборных процессов
Модель APT29, основанная на компрометации «транзитных» сайтов и перехвате данных у ограниченной доли посетителей, несет угрозу для экосистем, связанных с выборами. Под прицел попадают региональные СМИ, благотворительные организации, университеты и исследовательские центры. Даже без прямой атаки на инфраструктуру голосования массовый сбор почты, контактов и календарей создает условия для дальнейшего вмешательства и утечки внутренней коммуникации.
Уязвимости индустрии и возможные меры
Использование потоков авторизации, предназначенных для IoT-устройств и смарт-ТВ, превращает удобные сервисные функции в инструмент кибершпионажа. Эксперты подчеркивают необходимость отключения рискованных механизмов Device Code Flow по умолчанию, более строгой проверки OAuth-приложений и оперативного удаления доменов, имитирующих крупные бренды. Amazon уже второй раз публично срывает схему APT29, после аналогичной кампании в 2024 году, и такой подход должен стать отраслевым стандартом.
Геополитический контекст и ответ США
APT29 действует как инструмент российской разведки, системно атакуя государственные структуры, технологические компании и аналитические центры. По мнению специалистов, ответ Вашингтона должен включать не только киберзащиту, но и дипломатические шаги, а также санкции против операторов инфраструктуры и компаний-регистраторов, игнорирующих злоупотребления. Ключевой сигнал Кремлю — кибершпионаж будет иметь высокую цену, включая новые секторальные санкции и уголовные преследования конкретных исполнителей.
