Служба безопасности Amazon Web Services раскрыла детали масштабной кибершпионской кампании, которая продолжалась как минимум с 2021 года. Эксперты корпорации возлагают ответственность за эти атаки на группировку Sandworm, которую на Западе традиционно связывают с российской военной разведкой. Это один из самых длительных зафиксированных случаев присутствия посторонних лиц в критически важной облачной инфраструктуре. Целями злоумышленников становились преимущественно объекты энергетики в Северной Америке и Европе.
Вместо того чтобы искать бреши в программном обеспечении или разрабатывать сложные эксплойты «нулевого дня», атакующие пошли по пути наименьшего сопротивления, выискивая оборудование с неправильными настройками. Уязвимыми точками входа становились маршрутизаторы, шлюзы и другие пограничные устройства, которые клиенты подключали к облаку, забывая грамотно сконфигурировать параметры защиты.
Организовав себе первичный доступ, хакеры могли годами оставаться незамеченными, так как их действия выглядели как нормальная активность авторизованных сотрудников. Они спокойно собирали учётные данные и перемещались внутри корпоративных сетей жертв, используя штатные механизмы администрирования. Специалисты отмечают, что такой метод позволяет обходить большинство систем автоматического обнаружения угроз, которые обычно настроены на поиск вредоносного кода, а не на мониторинг странностей в поведении легальных аккаунтов.
Аналитики Amazon также зафиксировали и активность операторов из Северной Кореи, которую они охарактеризовали как «массированную». Подробности их операций пока не разглашаются, но опубликованный аналитиками отчёт подтверждает опасения разведывательного сообщества о превращении облачных платформ в «главное поле битвы» для государственных хакерских групп.