Когда мы думаем о Google Cloud или Cloudflare, мы представляем себе надёжную инфраструктуру, где безопасность встроена на всех уровнях. Но новая операция показывает, что даже такие гиганты не застрахованы от сложных, длительных атак. Более трёх лет фишинговая кампания оставалась незамеченной, маскируясь под сайты крупных корпораций, включая оборонного подрядчика Lockheed Martin.
Атака строилась на старых, но авторитетных доменах. Злоумышленники клонировали веб-сайты организаций из списка Fortune 500, используя HTTrack Website Copier, легальный инструмент для веб-скрапинга. Но это была не простая подделка: система маскировки анализировала HTTP-заголовки, пользовательские агенты и геолокацию IP, подавая поисковикам «легитимный» контент, а реальным пользователям — сайты с азартными играми и потенциально вредоносным ПО.
Исследователи Deep Specter Research выявили инфраструктуру из 48 тысяч виртуальных хостов, объединённых в 86 кластеров, с основной нагрузкой на Google Cloud в Гонконге и Тайване. Архитектура сети была иерархической: восемь верхних хостов управляли 78 менеджерами кластеров — это типичная структура профессиональной киберпреступной операции. При этом поддерживалось более 200 клонированных брендов в разных отраслях: от военной до здравоохранения и производства.
Эта кампания демонстрирует несколько ключевых рисков для бизнеса. Во-первых, злоумышленники используют доверие к облачной инфраструктуре, чтобы обходить фильтры и сохранять высокие рейтинги в поисковых системах. Во-вторых, сложная маскировка делает почти невозможным обнаружение атаки автоматически: контент меняется в зависимости от посетителя, а следы часто остаются скрытыми в коде и HTML-комментариях.
Вывод очевиден: корпоративная защита не может полностью полагаться на облачных провайдеров. Автоматические системы мониторинга могут быть обмануты, а злоумышленники способны строить устойчивые, масштабируемые и долгосрочные фишинговые кампании. В мире киберугроз пассивная стратегия безопасности — это уже серьёзный риск.