Amazon Web Services (AWS) heeft een aanhoudende, vijf jaar durende cyberaanvalcampagne bevestigd door een door de Russische staat gesponsorde groep die zich richt op apparaten van klanten. De aanvallen, uitgevoerd door de Sandworm-bedreigingsacteur gekoppeld aan de Russische militaire inlichtingendienst van de GRU, maakten misbruik van kwetsbaarheden in door de klant beheerde netwerkrandapparaten die werden gehost op AWS, * niet * op de AWS-infrastructuur zelf.
De aanval: gericht op kritieke infrastructuur
De campagne, actief sinds 2021, richtte zich vooral op organisaties in de energiesector in westerse landen, waaronder Noord-Amerika en Europa. In plaats van misbruik te maken van zwakke punten in AWS, richtten de aanvallers zich op slecht geconfigureerde apparaten van klanten, waardoor deze gemakkelijke toegangspunten voor permanente toegang werden.
Volgens CJ Moses van Amazon Threat Intelligence vertegenwoordigt de aanpak van de aanvallers een “tactische draai” weg van de traditionele exploitatie van kwetsbaarheden naar het benutten van verkeerd geconfigureerde systemen. Dankzij deze methode konden ze jarenlang toegang behouden zonder detectie door AWS zelf.
Waarom dit ertoe doet: een verschuiving in de tactieken van cyberoorlogvoering
Deze aanval benadrukt een groeiende trend in cyberoorlogvoering: door de staat gesponsorde actoren maken steeds meer misbruik van menselijke fouten en slechte veiligheidspraktijken in plaats van uitsluitend te vertrouwen op zero-day exploits. Het ‘laaghangende fruit’ van verkeerd geconfigureerde apparaten biedt een eenvoudiger en betrouwbaarder pad naar infiltratie.
Dit is zorgwekkend omdat hierdoor de verantwoordelijkheid voor de verdediging wordt verschoven naar eindgebruikers, die mogelijk niet over de expertise of middelen beschikken om hun systemen adequaat te beveiligen. Het betekent ook dat zelfs robuuste cloudplatforms zoals AWS niet immuun zijn als klanten de basisbeveiligingsprotocollen niet volgen.
Wat AWS doet en wat klanten moeten doen
Amazon Threat Intelligence heeft de getroffen klanten op de hoogte gebracht en dringt aan op meer monitoring en auditing van netwerkapparaten. Het bedrijf benadrukt dat er geen AWS-specifieke exploit te patchen is; het probleem ligt in de verkeerde configuraties van de klant.
In de toekomst moeten AWS-klanten prioriteit geven aan het veilig instellen van apparaten, regelmatige beveiligingsaudits en proactieve detectie van bedreigingen. Dit omvat het afdwingen van sterke toegangscontroles, het snel patchen van systemen en het waar mogelijk implementeren van multi-factor authenticatie.
Het succes van deze campagne onderstreept de cruciale behoefte aan waakzaamheid en robuuste beveiligingspraktijken op alle niveaus van het cloud-ecosysteem.
De aanvallen zijn aan de gang en klanten moeten waakzaam blijven om hun kritieke infrastructuur te beschermen tegen aanhoudende cyberdreigingen.
