Amazon Web Services (AWS) подтвердила продолжающуюся пятилетнюю киберкампанию, проводимую российской группой, спонсируемой государством, против устройств клиентов. Атаки, осуществляемые группой Sandworm, связанной с российской военной разведкой ГРУ, использовали уязвимости в сетевых устройствах, управляемых клиентами и размещенных на AWS, а не в инфраструктуре AWS самой по себе.
Атака: Нацеливание на критически важную инфраструктуру
Кампания, активная с 2021 года, в основном была сосредоточена на организациях в энергетическом секторе западных стран, включая Северную Америку и Европу. Вместо того чтобы использовать слабые места в AWS, злоумышленники нацеливались на плохо настроенные устройства клиентов, что делало их легкими точками входа для постоянного доступа.
По словам CJ Moses из Amazon Threat Intelligence, подход атакующих представляет собой «тактический поворот» от традиционной эксплуатации уязвимостей к использованию неправильно настроенных систем. Этот метод позволил им поддерживать доступ в течение многих лет без обнаружения со стороны AWS.
Почему это важно: Сдвиг в тактике кибервойны
Эта атака подчеркивает растущую тенденцию в кибервойне: государственные субъекты все чаще используют человеческую ошибку и плохие методы обеспечения безопасности, а не полагаются исключительно на эксплойты нулевого дня. «Низко висящие плоды» в виде неправильно настроенных устройств предоставляют более легкий и надежный путь для проникновения.
Это вызывает беспокойство, поскольку переносит ответственность за защиту на конечных пользователей, которым может не хватать опыта или ресурсов для адекватного обеспечения безопасности своих систем. Это также означает, что даже надежные облачные платформы, такие как AWS, не застрахованы, если клиенты не соблюдают основные протоколы безопасности.
Что делает AWS и что должны делать клиенты
Amazon Threat Intelligence уведомила пострадавших клиентов и настоятельно рекомендует усилить мониторинг и аудит сетевых устройств. Компания подчеркивает, что нет конкретной уязвимости AWS для исправления; проблема заключается в неправильной настройке клиентов.
В дальнейшем клиентам AWS необходимо уделять приоритетное внимание безопасной настройке устройств, регулярному аудиту безопасности и проактивному обнаружению угроз. Это включает в себя обеспечение строгого контроля доступа, своевременное исправление систем и внедрение многофакторной аутентификации везде, где это возможно.
Успех этой кампании подчеркивает критическую необходимость бдительности и надежных методов обеспечения безопасности на всех уровнях облачной экосистемы.
Атаки продолжаются, и клиенты должны оставаться бдительными, чтобы защитить свою критически важную инфраструктуру от постоянных киберугроз.
