Amazon Web Services (AWS) hat eine anhaltende, fünfjährige Cyberangriffskampagne einer staatlich geförderten russischen Gruppe bestätigt, die auf Kundengeräte abzielt. Die Angriffe, die vom mit dem russischen Militärgeheimdienst GRU verbundenen Bedrohungsakteur Sandworm durchgeführt wurden, nutzten Schwachstellen in vom Kunden verwalteten Netzwerk-Edge-Geräten aus, die auf AWS gehostet wurden, nicht auf der AWS-Infrastruktur selbst.
Der Angriff: Kritische Infrastruktur im Visier
Die seit 2021 aktive Kampagne konzentriert sich in erster Linie auf Organisationen im Energiesektor in westlichen Ländern, darunter Nordamerika und Europa. Anstatt Schwachstellen in AWS auszunutzen, zielten die Angreifer auf schlecht konfigurierte Kundengeräte und machten sie so zu einfachen Einstiegspunkten für dauerhaften Zugriff.
Laut CJ Moses von Amazon Threat Intelligence stellt der Ansatz der Angreifer einen „taktischen Schwenk“ weg von der herkömmlichen Ausnutzung von Schwachstellen hin zur Ausnutzung falsch konfigurierter Systeme dar. Diese Methode ermöglichte es ihnen, den Zugriff jahrelang aufrechtzuerhalten, ohne dass AWS selbst ihn entdeckte.
Warum das wichtig ist: Ein Wandel in den Taktiken der Cyber-Kriegsführung
Dieser Angriff verdeutlicht einen wachsenden Trend in der Cyberkriegsführung: Staatlich geförderte Akteure nutzen zunehmend menschliches Versagen und schlechte Sicherheitspraktiken aus, anstatt sich ausschließlich auf Zero-Day-Exploits zu verlassen. Die „niedrig hängenden Früchte“ falsch konfigurierter Geräte bieten einen einfacheren und zuverlässigeren Weg zur Infiltration.
Dies ist besorgniserregend, da dadurch die Verantwortung für die Verteidigung auf Endbenutzer verlagert wird, denen möglicherweise das Fachwissen oder die Ressourcen fehlen, um ihre Systeme angemessen zu sichern. Dies bedeutet auch, dass selbst robuste Cloud-Plattformen wie AWS nicht immun sind, wenn Kunden grundlegende Sicherheitsprotokolle nicht befolgen.
Was AWS tut und was Kunden tun sollten
Amazon Threat Intelligence hat betroffene Kunden benachrichtigt und fordert eine verstärkte Überwachung und Prüfung von Netzwerkgeräten. Das Unternehmen betont, dass es keinen AWS-spezifischen Exploit gibt, der gepatcht werden muss; Das Problem liegt in Fehlkonfigurationen der Kunden.
Zukünftig müssen AWS-Kunden der sicheren Geräteeinrichtung, regelmäßigen Sicherheitsüberprüfungen und der proaktiven Bedrohungserkennung Priorität einräumen. Dazu gehört die Durchsetzung strenger Zugriffskontrollen, das zeitnahe Patchen von Systemen und die Implementierung der Multi-Faktor-Authentifizierung, wo immer möglich.
Der Erfolg dieser Kampagne unterstreicht die dringende Notwendigkeit von Wachsamkeit und robusten Sicherheitspraktiken auf allen Ebenen des Cloud-Ökosystems.
Die Angriffe dauern an und Kunden müssen wachsam bleiben, um ihre kritische Infrastruktur vor anhaltenden Cyber-Bedrohungen zu schützen.
