Исследовательская группа Deep Specter Research обнаружила масштабную фишинговую операцию, которая на протяжении четырёх лет беспрепятственно работала на инфраструктуре Google Cloud и Cloudflare. Злоумышленники создали 48 000 поддельных сайтов, клонируя контент Fortune 500 компаний, включая оборонного гиганта Lockheed Martin. Несмотря на многочисленные предупреждения, технологические гиганты не приняли меры, что позволило мошенникам годами обманывать пользователей.
Описание
Суть схемы заключалась в захвате просроченных домено) с высокой репутацией и их преобразовании в зеркала известных брендов. Например, домен militaryfighterjet[.]com, ранее принадлежавший энтузиастам военной авиации, после истечения регистрации стал хостить контент азартных игр и точной копией сайта Lockheed Martin. Ключевой особенностью стала техника cloaking (клоакинг), при которой поисковым системам показывался легальный контент, а реальным пользователям - мошеннические страницы.
Особую озабоченность вызывает то, что многие клонированные сайты загружали ресурсы (шрифты, изображения, скрипты) непосредственно с инфраструктуры оригинальных брендов через Amazon S3 или Google Cloud. Это означает, что сами компании-жертвы непреднамеренно помогали злоумышленникам, обслуживая контент для фишинговых копий. С правовой точки зрения это создаёт серьёзные риски: нарушения GDPR, DMCA и норм FTC, а также потенциальные иски со стороны регуляторов и клиентов.
Инфраструктура мошенников оказалась сложной и многоуровневой: 86 кластеров, управляемых через восемь основных серверов, размещённых преимущественно в Google Cloud (Гонконг и Тайвань). Анализ исторических данных показал, что активность операции резко возрастала в периоды крупных киберинцидентов, таких как уязвимость MOVEit в 2023 году или взлом Oracle Cloud в марте 2025-го. Это указывает на возможную связь с организованными группами, такими как APT41.
При этом система не оставалась незамеченной. Сервисы вроде urlquery.net зафиксировали 265 публичных проверок подозрительных URL, связанных с этой инфраструктурой, только за 2023-2025 годы. Однако ни Google, ни Cloudflare не отреагировали на сигналы, что исследователи расценивают как проявление умышленного бездействия.
Для таких компаний, как Lockheed Martin, последствия выходят далеко за рамки технических проблем. Репутационный ущерб, ассоциация с нелегальными азартными играми и потенциальные финансовые потери из-за исключения из поиска - лишь часть рисков. Важно, что бренды могут нести ответственность за недостаточный мониторинг своих цифровых активов.
Глубокое исследование показывает: проблема не в отдельном инциденте, а в системном сбое экосистемы интернета. Когда гиганты типа Google и Cloudflare, обрабатывающие большую часть трафика, игнорируют длительные злоупотребления, это ставит под вопрос эффективность модели разделённой ответственности. Компании с национальной значимостью, как Lockheed Martin, должны внедрять более активные методы обнаружения клонов и имитации, чтобы защитить своих пользователей и акционеров.
На текущий момент инфраструктура продолжает работать, а её операторы развивают методы маскировки, используя семь различных поколений платформы. Исследователи предполагают, что за контентом азартных игр может скрываться более опасная активность, включая фишинг как услугу (Phishing-as-a-Service) и распространение вредоносного ПО. Осведомлённость регуляторов и широкой общественности - ключевой шаг к противодействию таким схемам в будущем.
Индикаторы компрометации
TLS fingerprints
JARM: 3fd3fd0003fd3fd21c42d42d000000bdfc58c9a46434368cf60aa440385763
TLSv1.3:
- ja3s: 15af977ce25de452b96affa2addb1036
- ja4s: t130200_1302_a56c5b993250
TLSv1.2:
- ja3s: 76d88c75d798a42d6ea08ab2b9006623
- ja4s: t120300_cca8_eac207b63351
TLSv1.1:
- ja3s: f43f6aaa857b937a9728a6760c1cb77e
- ja4s: t110300_c013_eac207b63351
