Amazon Web Services (AWS) potvrdily probíhající pětiletou kybernetickou kampaň ruské státem sponzorované skupiny proti zákaznickým zařízením. Útoky, které provedla skupina Sandworm napojená na ruskou vojenskou rozvědku GRU, využívaly zranitelnosti v síťových zařízeních spravovaných zákazníky hostovaných na AWS, ne samotné infrastruktuře AWS.
Útok: Cílení na kritickou infrastrukturu
Kampaň, aktivní od roku 2021, se primárně zaměřila na organizace v energetickém sektoru západních zemí včetně Severní Ameriky a Evropy. Místo využívání slabých stránek AWS se útočníci zaměřovali na špatně nakonfigurovaná zákaznická zařízení, což z nich učinilo snadný vstupní bod pro trvalý přístup.
Podle CJ Mosese z Amazon Threat Intelligence představuje přístup útočníků „taktický klíč“ od tradičního zneužívání zranitelností k zneužívání špatně nakonfigurovaných systémů. Tato metoda jim umožnila zachovat přístup po mnoho let bez detekce AWS.
Proč na tom záleží: Posun v taktice kybernetické války
Tento útok poukazuje na rostoucí trend v kybernetické válce: Státní aktéři stále častěji využívají lidské chyby a špatných bezpečnostních postupů, než aby se spoléhali pouze na zero-day exploity. „Nízko visící ovoce“ v podobě špatně nakonfigurovaných zařízení poskytuje snazší a spolehlivější cestu k infiltraci.
To je znepokojující, protože to přesouvá odpovědnost za bezpečnost na koncové uživatele, kteří mohou postrádat odborné znalosti nebo zdroje k adekvátnímu zabezpečení svých systémů. To také znamená, že ani robustní cloudové platformy, jako je AWS, nejsou imunní, pokud zákazníci nedodržují základní bezpečnostní protokoly.
Co dělá AWS a co by měli dělat zákazníci
Amazon Threat Intelligence upozornil dotčené zákazníky a důrazně doporučuje zvýšené monitorování a audit síťových zařízení. Společnost zdůrazňuje, že neexistuje žádná specifická zranitelnost AWS k opravě; problém je v tom, že klienti nejsou správně nakonfigurováni.
Zákazníci AWS musí v budoucnu upřednostňovat zabezpečenou konfiguraci zařízení, pravidelné bezpečnostní audity a proaktivní detekci hrozeb. To zahrnuje zajištění přísných kontrol přístupu, rychlé opravy systémů a implementaci vícefaktorové autentizace, kdykoli je to možné.
Úspěch této kampaně zdůrazňuje kritickou potřebu bdělosti a robustních bezpečnostních postupů na všech úrovních cloudového ekosystému.
Jak útoky pokračují, zákazníci musí zůstat ostražití, aby ochránili svou kritickou infrastrukturu před pokračujícími kybernetickými hrozbami.
