Amazon Web Services (AWS) a confirmé une campagne de cyberattaque soutenue de cinq ans menée par un groupe parrainé par l’État russe ciblant les appareils des clients. Les attaques, menées par l’acteur malveillant Sandworm lié au renseignement militaire russe GRU, ont exploité les vulnérabilités des appareils périphériques du réseau gérés par le client et hébergés sur AWS, et non l’infrastructure AWS elle-même.
L’attaque : cibler les infrastructures critiques
La campagne, active depuis 2021, s’est principalement concentrée sur les organisations du secteur de l’énergie dans les pays occidentaux, notamment en Amérique du Nord et en Europe. Plutôt que d’exploiter les faiblesses d’AWS, les attaquants ont ciblé les appareils clients mal configurés, en faisant ainsi des points d’entrée faciles pour un accès persistant.
Selon CJ Moses d’Amazon Threat Intelligence, l’approche des attaquants représente un « pivot tactique » par rapport à l’exploitation traditionnelle des vulnérabilités et vers l’exploitation de systèmes mal configurés. Cette méthode leur a permis de conserver l’accès pendant des années sans détection par AWS lui-même.
Pourquoi c’est important : un changement dans les tactiques de cyberguerre
Cette attaque met en évidence une tendance croissante en matière de cyberguerre : les acteurs parrainés par l’État exploitent de plus en plus l’erreur humaine et les mauvaises pratiques de sécurité plutôt que de s’appuyer uniquement sur des exploits du jour zéro. Le « fruit à portée de main » des appareils mal configurés offre une voie d’infiltration plus facile et plus fiable.
Cela est préoccupant car cela transfère la responsabilité de la défense sur les utilisateurs finaux, qui peuvent manquer de l’expertise ou des ressources nécessaires pour sécuriser adéquatement leurs systèmes. Cela signifie également que même les plateformes cloud robustes comme AWS ne sont pas à l’abri si les clients ne respectent pas les protocoles de sécurité de base.
Ce que fait AWS et ce que les clients devraient faire
Amazon Threat Intelligence a informé les clients concernés et recommande une surveillance et un audit accrus des périphériques réseau. La société souligne qu’il n’existe aucun exploit spécifique à AWS à corriger ; le problème réside dans les mauvaises configurations des clients.
À l’avenir, les clients AWS doivent donner la priorité à la configuration sécurisée des appareils, aux audits de sécurité réguliers et à la détection proactive des menaces. Cela inclut l’application de contrôles d’accès stricts, l’application rapide de correctifs aux systèmes et la mise en œuvre d’une authentification multifacteur dans la mesure du possible.
Le succès de cette campagne souligne le besoin crucial de vigilance et de pratiques de sécurité robustes à tous les niveaux de l’écosystème cloud.
Les attaques se poursuivent et les clients doivent rester vigilants pour protéger leur infrastructure critique contre les cybermenaces persistantes.
