Amazon Web Services (AWS) підтвердила триваючу п’ятирічну кіберкампанію російської державної групи проти пристроїв клієнтів. Атаки, здійснені групою Sandworm, пов’язаною з російською військовою розвідкою ГРУ, використовували вразливості в керованих клієнтами мережевих пристроях, розміщених на AWS, а не самій інфраструктурі AWS.
Атака: націлена на критичну інфраструктуру
Кампанія, активна з 2021 року, в основному зосереджена на організаціях в енергетичному секторі західних країн, включаючи Північну Америку та Європу. Замість того, щоб використовувати слабкі місця в AWS, зловмисники націлилися на погано налаштовані клієнтські пристрої, зробивши їх простими точками входу для постійного доступу.
За словами CJ Moses з Amazon Threat Intelligence, підхід зловмисників являє собою «тактичний поворот» від традиційного використання вразливостей до використання неправильно налаштованих систем. Цей метод дозволив їм підтримувати доступ протягом багатьох років без виявлення AWS.
Чому це важливо: зміна тактики кібервійни
Ця атака підкреслює зростаючу тенденцію в кібервійні: Державні суб’єкти все більше користуються людськими помилками та поганими методами безпеки, а не покладаються виключно на експлойти нульового дня. «Низькі плоди» у вигляді неправильно налаштованих пристроїв забезпечують простіший і надійніший шлях до проникнення.
Це викликає занепокоєння, оскільки перекладається відповідальність за безпеку на кінцевих користувачів, яким може не вистачати досвіду або ресурсів, щоб належним чином захистити свої системи. Це також означає, що навіть надійні хмарні платформи, такі як AWS, не захищені від того, що клієнти не дотримуються основних протоколів безпеки.
Що робить AWS і що повинні робити клієнти
Amazon Threat Intelligence повідомила постраждалих клієнтів і наполегливо рекомендує посилити моніторинг і аудит мережевих пристроїв. Компанія наголошує, що немає конкретної вразливості AWS для виправлення; проблема в тому, що клієнти налаштовані неправильно.
У майбутньому клієнти AWS повинні надавати пріоритет безпечній конфігурації пристроїв, регулярним аудитам безпеки та проактивному виявленню загроз. Це включає забезпечення суворого контролю доступу, оперативне оновлення систем і впровадження багатофакторної автентифікації, де це можливо.
Успіх цієї кампанії підкреслює критичну потребу в пильності та надійних методах безпеки на всіх рівнях хмарної екосистеми.
Оскільки атаки тривають, клієнти повинні бути пильними, щоб захистити свою критичну інфраструктуру від постійних кіберзагроз.
