Amazon ujawnił szczegóły wieloletniej kampanii cybernetycznej prowadzonej przez rosyjską grupę hakerską Sandworm, powiązaną z wojskowym wywiadem GRU.
Ataki nie wykorzystywały luk zero-day ani zaawansowanego malware’u. Kluczowym problemem okazały się źle skonfigurowane urządzenia sieciowe należące do klientów Amazon Web Services.
Pięcioletnia kampania wymierzona w infrastrukturę krytyczną
Zespół ds. analizy zagrożeń Amazona poinformował o wykryciu długotrwałej kampanii cybernetycznej wymierzonej w urządzenia klientów korzystających z Amazon Web Services w krajach zachodnich. Według ustaleń firmy, za atakami stoi grupa Sandworm, od lat łączona z rosyjskim wywiadem wojskowym GRU.
Jak podkreśla Amazon, operacja trwała co najmniej od 2021 roku. Była skierowana przede wszystkim przeciwko infrastrukturze krytycznej, w szczególności sektorowi energetycznemu w Ameryce Północnej i Europie. Firma zaznacza jednak, że celem nie była sama infrastruktura AWS, lecz urządzenia zarządzane przez klientów, działające na styku sieci lokalnych i chmury.
Kampania nie polegała na stałym, nieprzerwanym dostępie do systemów ofiar, lecz na długotrwałym i powtarzalnym targetowaniu infrastruktury w latach 2021–2025.
Nowa taktyka: nie luki, lecz konfiguracja
CJ Moses, dyrektor ds. bezpieczeństwa informacji Amazona (CISO), określił kampanię jako „istotną ewolucję w sposobie atakowania infrastruktury krytycznej”. Zamiast wykorzystywać podatności w oprogramowaniu, hakerzy skupili się na błędach konfiguracyjnych w tzw. urządzeniach brzegowych.
Chodzi m.in. o routery, bramy sieciowe i różnego rodzaju appliance’y sieciowe, które – choć aktualne i załatane – były niewłaściwie skonfigurowane. To wystarczyło, by stały się furtką do dalszej penetracji systemów firmowych.
Według Amazona, atakujący uzyskiwali w ten sposób początkowy dostęp bez potrzeby stosowania exploitów typu zero-day czy wyrafinowanych narzędzi szpiegowskich.
Cichy dostęp i ruch boczny w sieciach ofiar
Po uzyskaniu dostępu do źle zabezpieczonych urządzeń sieciowych, hakerzy mogli przechwytywać dane uwierzytelniające oraz poruszać się poziomo po infrastrukturze ofiar. Wykorzystywali do tego legalne połączenia sieciowe i prawidłowe konta użytkowników, co pozwalało im długo pozostawać poniżej progów wykrywalności systemów bezpieczeństwa.
Eksperci ds. cyberbezpieczeństwa podkreślają, że taka metoda ataku jest szczególnie niebezpieczna. Nie generuje klasycznych sygnałów alarmowych związanych z exploitami czy złośliwym oprogramowaniem.
Konfiguracja równie ważna jak aktualizacje
Amazon wykorzystał publikację raportu jako okazję do przypomnienia, że samo regularne aktualizowanie systemów nie wystarcza. W środowiskach chmurowych i hybrydowych kluczowe znaczenie ma również egzekwowanie standardów konfiguracji oraz ciągły audyt urządzeń sieciowych wystawionych na internet.
Firma zaznaczyła też, że podobne zagrożenia nie ograniczają się wyłącznie do Rosji. W osobnym komunikacie Amazon poinformował o wykryciu prób prowadzenia szeroko zakrojonych operacji cybernetycznych przez podmioty powiązane z Koreą Północną.
Foto: Grok/AI.