Amazons Bedrohungsanalyse identifiziert russische Cyber-Gruppe, die westliche kritische Infrastruktur angreift

Amazon Web Services (AWS) gab am Dienstag bekannt, eine russische, staatlich unterstützte Cyber-Bedrohungsgruppe identifiziert zu haben, die seit Jahren westliche kritische Infrastrukturen ins Visier nimmt, mit einem besonderen Schwerpunkt auf dem Energiesektor. Laut AWS-Bedrohungsanalyse hat die Gruppe ihre Taktiken erheblich weiterentwickelt.

Anstatt primär Schwachstellen auszunutzen, greift die Gruppe nun hauptsächlich über fehlkonfigurierte, kundennahe Netzwerkgeräte auf Systeme zu. AWS gibt an, dass dieser "taktische Pivot" der Gruppe ermöglicht, ihre Ziele wie die Erfassung von Anmeldeinformationen und laterale Bewegungen innerhalb der Netzwerke der Opfer mit geringerer Exposition und geringerem Ressourcenaufwand zu erreichen.

Basierend auf Infrastrukturüberschneidungen mit bekannten Sandworm-Operationen (auch bekannt als APT44 und Seashell Blizzard) und konsistenten Zielmustern, stellt AWS mit hoher Sicherheit fest, dass diese Aktivität mit dem russischen Hauptnachrichtendienst (GRU) verbunden ist. Die Kampagne hat einen anhaltenden Fokus auf westliche kritische Infrastrukturen, insbesondere Energieversorger, mit Operationen, die von 2021 bis heute andauern.

Technische Details von AWS zeigen, dass die Gruppe zwischen 2021 und 2025 globale Infrastrukturen angegriffen hat. Während frühere Taktiken die Ausnutzung von Schwachstellen in WatchGuard-Geräten (CVE-2022-26318) und Confluence-Servern (CVE-2021-26084, CVE-2023-22518) umfassten, hat sich der Schwerpunkt zunehmend auf die Ausnutzung fehlkonfigurierter Geräte verlagert. Im Jahr 2024 umfassten die Angriffe auch die Ausnutzung von Veeam-Schwachstellen (CVE-2023-27532).

AWS fordert Organisationen auf, die Sicherheit ihrer Netzwerk-Edge-Geräte zu priorisieren und auf Angriffe mit Anmeldeinformationen zu achten, um sich im kommenden Jahr 2026 gegen diese anhaltende Bedrohung zu wappnen.