Amazon Web Services (AWS) ha confermato una campagna di attacchi informatici prolungata, durata cinque anni, da parte di un gruppo sponsorizzato dallo stato russo contro i dispositivi dei clienti. Gli attacchi, condotti dall’autore della minaccia Sandworm collegato all’intelligence militare russa GRU, hanno sfruttato le vulnerabilità nei dispositivi edge di rete gestiti dai clienti ospitati su AWS, non sull’infrastruttura AWS stessa.
L’attacco: prendere di mira le infrastrutture critiche
La campagna, attiva dal 2021, si è concentrata principalmente sulle organizzazioni del settore energetico nelle nazioni occidentali, tra cui il Nord America e l’Europa. Invece di sfruttare i punti deboli di AWS, gli aggressori hanno preso di mira i dispositivi dei clienti mal configurati, rendendoli semplici punti di ingresso per un accesso persistente.
Secondo CJ Moses di Amazon Threat Intelligence, l’approccio degli aggressori rappresenta un “perno tattico” che si allontana dal tradizionale sfruttamento delle vulnerabilità per sfruttare sistemi mal configurati. Questo metodo ha consentito loro di mantenere l’accesso per anni senza essere rilevato da AWS stessa.
Perché è importante: un cambiamento nelle tattiche di guerra informatica
Questo attacco evidenzia una tendenza crescente nella guerra informatica: gli attori sponsorizzati dallo stato sfruttano sempre più l’errore umano e le scarse pratiche di sicurezza piuttosto che fare affidamento esclusivamente su exploit zero-day. Il “frutto a portata di mano” dei dispositivi mal configurati fornisce un percorso più semplice e affidabile verso l’infiltrazione.
Ciò è preoccupante perché sposta la responsabilità della difesa sugli utenti finali, a cui potrebbero mancare le competenze o le risorse per proteggere adeguatamente i propri sistemi. Significa anche che anche piattaforme cloud robuste come AWS non sono immuni se i clienti non riescono a seguire i protocolli di sicurezza di base.
Cosa sta facendo AWS e cosa dovrebbero fare i clienti
Amazon Threat Intelligence ha informato i clienti interessati e sollecita un maggiore monitoraggio e controllo dei dispositivi di rete. L’azienda sottolinea che non esiste alcun exploit specifico di AWS a cui applicare la patch; il problema risiede nelle configurazioni errate del cliente.
In futuro, i clienti AWS dovranno dare priorità alla configurazione sicura dei dispositivi, ai controlli di sicurezza regolari e al rilevamento proattivo delle minacce. Ciò include l’applicazione di controlli di accesso efficaci, l’applicazione tempestiva di patch ai sistemi e l’implementazione dell’autenticazione a più fattori ove possibile.
Il successo di questa campagna sottolinea la necessità fondamentale di vigilanza e solide pratiche di sicurezza a tutti i livelli dell’ecosistema cloud.
Gli attacchi sono in corso e i clienti devono rimanere vigili per proteggere la propria infrastruttura critica dalle minacce informatiche persistenti.
