Amazon Web Services (AWS) telah mengonfirmasi kampanye serangan siber berkelanjutan selama lima tahun yang dilakukan oleh kelompok yang disponsori negara Rusia yang menargetkan perangkat pelanggan. Serangan tersebut, yang dilakukan oleh pelaku ancaman Sandworm yang terkait dengan intelijen militer GRU Rusia, mengeksploitasi kerentanan pada perangkat edge jaringan yang dikelola pelanggan yang dihosting di AWS, bukan infrastruktur AWS itu sendiri.
Serangan: Menargetkan Infrastruktur Kritis
Kampanye ini, yang aktif sejak tahun 2021, terutama berfokus pada organisasi-organisasi di sektor energi di negara-negara Barat, termasuk Amerika Utara dan Eropa. Daripada mengeksploitasi kelemahan di AWS, para penyerang menargetkan perangkat pelanggan yang dikonfigurasi dengan buruk, menjadikannya titik masuk yang mudah untuk akses persisten.
Menurut CJ Moses dari Amazon Threat Intelligence, pendekatan para penyerang mewakili “poros taktis” dari eksploitasi kerentanan tradisional menuju pemanfaatan sistem yang salah dikonfigurasi. Metode ini memungkinkan mereka mempertahankan akses selama bertahun-tahun tanpa terdeteksi oleh AWS itu sendiri.
Mengapa Ini Penting: Pergeseran Taktik Perang Dunia Maya
Serangan ini menyoroti tren yang berkembang dalam perang siber: aktor-aktor yang disponsori negara semakin mengeksploitasi kesalahan manusia dan praktik keamanan yang buruk dibandingkan hanya mengandalkan eksploitasi zero-day. Dampak buruk dari perangkat yang salah dikonfigurasi memberikan jalur infiltrasi yang lebih mudah dan andal.
Hal ini mengkhawatirkan karena hal ini mengalihkan tanggung jawab pertahanan kepada pengguna akhir, yang mungkin tidak memiliki keahlian atau sumber daya untuk mengamankan sistem mereka secara memadai. Hal ini juga berarti bahwa platform cloud yang kuat seperti AWS pun tidak kebal jika pelanggan gagal mengikuti protokol keamanan dasar.
Apa yang Dilakukan AWS dan Apa yang Harus Dilakukan Pelanggan
Amazon Threat Intelligence telah memberi tahu pelanggan yang terkena dampak dan mendesak peningkatan pemantauan dan audit perangkat jaringan. Perusahaan menekankan bahwa tidak ada eksploitasi khusus AWS yang perlu ditambal; masalahnya terletak pada kesalahan konfigurasi pelanggan.
Ke depannya, pelanggan AWS harus memprioritaskan penyiapan perangkat yang aman, audit keamanan rutin, dan deteksi ancaman proaktif. Hal ini termasuk menerapkan kontrol akses yang kuat, segera melakukan patching sistem, dan menerapkan autentikasi multifaktor jika memungkinkan.
Keberhasilan kampanye ini menggarisbawahi pentingnya kewaspadaan dan praktik keamanan yang kuat di semua tingkat ekosistem cloud.
Serangan-serangan ini masih berlangsung, dan pelanggan harus tetap waspada untuk melindungi infrastruktur penting mereka dari ancaman siber yang terus-menerus.
