Rosyjska grupa Sandworm przez lata atakowała urządzenia klientów chmury AWS

Klienci Amazona stali się celem rosyjskich ataków. Platforma wykryła trwającą wiele lat kampanię, która była wymierzona w urządzenia użytkowników Amazon Web Services z krajów zachodnich.

Według ustaleń firmy za atakami stała grupa Sandworm, od lat łączona z rosyjskim wywiadem wojskowym GRU. Operacja miała trwać około pięciu lat i stanowiła element szerszych działań wymierzonych w infrastrukturę cyfrową, w których palce miał maczać rosyjski wywiad GRU.

Zmiana podejścia do ataków

Jak wyjaśnia Amazon, w tym przypadku nie chodziło o wykorzystywanie luk w oprogramowaniu. Atakujący skupili się na sprzęcie sieciowym zarządzanym bezpośrednio przez użytkowników usług chmurowych platformy, które były podłączone do usługi i jednocześnie źle skonfigurowane.

Wystarczyły błędne ustawienia, by urządzenie stało się furtką do dalszych działań. CJ Moses, dyrektor ds. bezpieczeństwa informacji w Amazonie, zwrócił uwagę, iż cyberprzestępcy zmienili taktykę.

Zamiast szukać skomplikowanych podatności, wykorzystywali proste błędy popełniane przez użytkowników. Dzięki temu mogli uzyskać dostęp do infrastruktury bez użycia zaawansowanych narzędzi oraz exploitów.

Jak wyglądał atak

Po uzyskaniu dostępu hakerzy przechodzili do kolejnych etapów, przechwytywali między innymi dane logowania. Kluczową rolę odgrywały tu urządzenia brzegowe, takie jak routery czy bramy sieciowe. Amazon podkreśla, iż atakowane systemy nie musiały być przestarzałe ani nieaktualizowane.

Problemem nie był brak łatek, lecz nieprawidłowa konfiguracja, która umożliwiała dostęp z zewnątrz. To sprawiało, że działania napastników były trudniejsze do wykrycia, ponieważ opierały się na legalnych połączeniach i prawdziwych danych uwierzytelniających.

Skala działań i cel

Grupa cyberprzestępców działała aktywnie co najmniej od 2021 roku i koncentrowała się na infrastrukturze globalnej. Szczególną uwagę cyberprzestępcy przywiązywali do sektora energetycznego w Ameryce Północnej oraz w Europie. Eksperci zwracają uwagę, że taki sposób działania pozwala prowadzić długotrwałe operacje bez ryzyka natychmiastowego wykrycia. Jak widać jest to skuteczne, bowiem w tym przypadku cyberprzestępcy maskowali swoją działalność przez blisko 5 lat.

Hakerzy powiązani z rosyjskim wywiadem GRU od lat atakowali klientów Amazon Web Services z krajów zachodnich.

Amazon zaznacza, iż ujawniona kampania nie była wymierzona w samą infrastrukturę AWS, lecz w urządzenia klientów korzystających z tej platformy. Firma traktuje to jako wyraźny sygnał ostrzegawczy dla organizacji działających w środowiskach chmurowych i hybrydowych.

Konfiguracja równie ważna jak aktualizacje

W swoim komunikacie Amazon przypomina, że samo regularne aktualizowanie systemów nie wystarcza. Równie istotna jest poprawna konfiguracja zabezpieczeń, zwłaszcza w przypadku urządzeń sieciowych. To właśnie one coraz częściej stają się najsłabszym ogniwem całej infrastruktury.

Na marginesie firma poinformowała także o wykryciu prób dużych operacji cybernetycznych powiązanych z Koreą Północną, choć były to odrębne działania, niezwiązane bezpośrednio z opisywaną kampanią Sandworm.

Zawodzi czynnik ludzki

Jak zwykle zawodzi czynnik ludzki, w tym przypadku dzięki nieodpowiedniej konfiguracji cyberprzestępcy byli w stanie wyrządzić sporo złego. Dlatego tego rodzaju urządzenia trzeba odpowiednio skonfigurować oraz zabezpieczyć, by unikąć poważnych konsekwencji. Jeśli nie wiemy, jak to zrobić, warto poszukać poradników, których w internecie nie brakuje.

Szpieg z Korei Północnej wpadł przez klawiaturę

Tymczasem firma złapała szpiega z Korei Północnej, który pracował jako administrator systemów w amerykańskim gigancie. Kluczowym dowodem okazało się opóźnienie we wprowadzaniu danych z klawiatury, które przekraczało 110 milisekund, czyli znacznie więcej niż u typowych pracowników działajacych w Amazonie.