Amazon заподозрил “русский след” в ударах по критической инфраструктуре западных стран
В Amazon заявили о многолетней атаке российских хакеров связанных с ГРУ на энергетический сектор западных стран. По данным иностранных аналитиков, атаки начались с 2021 года и продолжаются по сей день на объектах Северной Америки, Европы и Среднем Востоке. Российские группировки при атаках используют корпоративные маршрутизаторы, VPN-концентраторы и шлюзы удаленного доступа, устройства управления сетью, подробнее в материале SecPost.
Аналитики Amazon Threat Intelligence заявили о многолетней киберкампании против энергетического сектора западных стран со стороны российских хакеров. Операция продолжается с 2021 года по сей день, затронуты объекты в Северной Америке, Европе и Среднем Востоке. Как утверждают в AWS, за атакой может стоять российский хакерский коллектив, связанный с государством.
“На основании совпадений в инфраструктуре с известными операциями группы Sandworm (также известной как APT44 и Seashell Blizzard), наблюдаемых в телеметрии Amazon, и устойчивых моделей целевых атак, мы с высокой степенью уверенности оцениваем, что этот кластер активности связан с Главным разведывательным управлением (ГРУ) России”, — следует из отчета AWS.
Утверждается, что чаще всего при атаках используются такие ресурсы как корпоративные маршрутизаторы, VPN-концентраторы и шлюзы удаленного доступа, устройства управления сетью. Также при атаках используются платформы для совместной работы и вики компаний, а также облачные системы управления проектами.
Amazon приводит таймлайн атак. Компания также обращает внимание, что тактика кампании менялась со временем:
- 2021-2022: Обнаружена системами Amazon MadPot эксплуатация уязвимости в WatchGuard (CVE-2022-26318); зафиксированы целевые атаки на некорректно настроенные устройства;
- 2022-2023: Эксплуатация уязвимостей в Confluence (CVE-2021-26084, CVE-2023-22518); продолжились целевые атаки на некорректно настроенные устройства;
- 2024: Эксплуатация уязвимости в Veeam (CVE-2023-27532); целевые атаки на некорректно настроенные устройства продолжились;
- 2025: Сохраняется активность по целевым атакам на некорректно настроенные клиентские сетевые периферийные устройства; при этом наблюдается снижение активности по эксплуатации как N-day, так и zero-day уязвимостей.
Как правило, хакеры используют следующую схему проведения кампании. Сначала происходит компрометация пограничных устройств клиентской сети, размещенного на AWS. Затем используются встроенные возможности захвата пакетов, после чего учетные данные извлекаются из перехваченного трафика. Собранные учетные данные затем используются для атак на онлайн-сервисы и инфраструктуру организаций-жертв. Хакеры также стремятся установить постоянный доступ, чтобы затем использовать сеть.
