Amazonin uhkatiedustelu paljasti Venäjän kyberryhmän hyökkäävän länsimaiden kriittiseen infrastruktuuriin

Amazon Web Services (AWS) kertoi tiistaina tunnistaneensa Venäjän valtion tukeman kyberuhkaryhmän, joka on kohdistanut vuosien ajan hyökkäyksiä länsimaiden kriittiseen infrastruktuuriin, erityisesti energia-alaan.

AWS:n uhkatiedustelun mukaan ryhmä on kehittänyt taktiikkaansa merkittävästi. Sen sijaan, että se käyttäisi perinteisiä haavoittuvuuksien hyväksikäyttöjä hyökkäysten aloituksessa, ryhmä on siirtynyt hyödyntämään virheellisesti määritettyjä asiakkaiden verkkolaitteita. Tämän "taktisen pivotin" uskotaan mahdollistavan samoja operatiivisia tuloksia, kuten tunnusten keräämistä ja sivuttaisliikkumista uhrien verkkoihin, pienemmillä resursseilla ja pienemmällä riskillä.

AWS:n analyysin perusteella ryhmän toiminta on yhdistetty Venäjän pääesikunnan tiedusteluosastoon (GRU), joka tunnetaan myös nimillä Sandworm, APT44 ja Seashell Blizzard. Ryhmä on kohdistanut toimintansa jatkuvasti vuodesta 2021 alkaen, ja se on osoittanut erityistä kiinnostusta energia-alan yrityksiin.

Tekniset tiedot paljastavat, että vaikka ryhmä on käyttänyt myös vanhempia hyökkäysvektoreita, kuten WatchGuard-laitteiden (CVE-2022-26318) ja Confluence-palvelimien (CVE-2021-26084, CVE-2023-22518) haavoittuvuuksien hyväksikäyttöä vuosina 2021–2023, painopiste on siirtynyt yhä enemmän virheellisesti konfiguroitujen laitteiden hyödyntämiseen. Vuonna 2024 hyökkäyksissä havaittiin myös Veeam-haavoittuvuuden (CVE-2023-27532) käyttöä.

AWS kehottaa organisaatioita tehostamaan verkkolaitteidensa suojausta ja valvomaan tunnusten toistohyökkäyksiä puolustautuakseen tätä jatkuvaa uhkaa vastaan vuonna 2026.