Amazon Web Services (AWS) potwierdziło trwającą od pięciu lat kampanię cybernetyczną prowadzoną przez grupę sponsorowaną przez państwo rosyjskie przeciwko urządzeniom klientów. Ataki przeprowadzone przez grupę Sandworm powiązaną z rosyjskim wywiadem wojskowym GRU wykorzystywały luki w zabezpieczeniach urządzeń sieciowych zarządzanych przez klientów hostowanych w AWS, a nie samej infrastruktury AWS.
Atak: atak na infrastrukturę krytyczną
Trwająca od 2021 roku kampania skupiła się przede wszystkim na organizacjach z sektora energetycznego krajów zachodnich, w tym Ameryki Północnej i Europy. Zamiast wykorzystywać słabości AWS, napastnicy obrali za cel źle skonfigurowane urządzenia klientów, czyniąc je łatwymi punktami wejścia dla stałego dostępu.
Według CJ Mosesa z Amazon Threat Intelligence podejście atakujących stanowi „taktyczny zwrot” od tradycyjnego wykorzystania luk do wykorzystania źle skonfigurowanych systemów. Ta metoda pozwoliła im utrzymać dostęp przez wiele lat bez wykrycia przez AWS.
Dlaczego to ma znaczenie: zmiana taktyki cyberwojny
Atak ten uwydatnia rosnącą tendencję w cyberwojnie: Podmioty państwowe w coraz większym stopniu wykorzystują błędy ludzkie i złe praktyki w zakresie bezpieczeństwa, zamiast polegać wyłącznie na exploitach dnia zerowego. „Nisko wiszące owoce” w postaci źle skonfigurowanych urządzeń zapewniają łatwiejszą i bardziej niezawodną drogę do infiltracji.
Jest to niepokojące, ponieważ przenosi odpowiedzialność za bezpieczeństwo na użytkowników końcowych, którym może brakować wiedzy specjalistycznej lub zasobów, aby odpowiednio zabezpieczyć swoje systemy. Oznacza to również, że nawet solidne platformy chmurowe, takie jak AWS, nie są odporne, jeśli klienci nie przestrzegają podstawowych protokołów bezpieczeństwa.
Co robi AWS i co powinni robić klienci
Amazon Threat Intelligence powiadomił dotkniętych klientów i zdecydowanie zaleca wzmożone monitorowanie i audytowanie urządzeń sieciowych. Firma podkreśla, że nie ma konkretnej luki AWS do załatania; Problem polega na tym, że klienci nie są poprawnie skonfigurowani.
Idąc dalej, klienci AWS muszą priorytetowo traktować bezpieczną konfigurację urządzeń, regularne audyty bezpieczeństwa i proaktywne wykrywanie zagrożeń. Obejmuje to zapewnienie ścisłej kontroli dostępu, szybkie aktualizowanie systemów i wdrażanie uwierzytelniania wieloskładnikowego tam, gdzie to możliwe.
Sukces tej kampanii uwydatnia krytyczną potrzebę czujności i solidnych praktyk bezpieczeństwa na wszystkich poziomach ekosystemu chmury.
W miarę kontynuowania ataków klienci muszą zachować czujność, aby chronić swoją infrastrukturę krytyczną przed ciągłymi zagrożeniami cybernetycznymi.
