Amazon Threat Intelligence identifie un groupe de cybermenaces russe ciblant les infrastructures critiques occidentales
Amazon Web Services (AWS) a identifié un groupe de cybermenaces russe soutenu par l'État qui ciblerait les infrastructures critiques occidentales, en particulier le secteur de l'énergie, depuis 2021.
Amazon Web Services (AWS) a annoncé mardi avoir identifié un groupe de cybermenaces russe soutenu par l'État qui, depuis des années, cible les infrastructures critiques occidentales, avec un accent particulier sur le secteur de l'énergie. Le groupe a fait évoluer significativement ses tactiques, selon l'analyse de menaces d'AWS.
Plutôt que d'exploiter principalement des vulnérabilités, le groupe accède désormais aux systèmes via des appareils périphériques réseau mal configurés côté client. AWS affirme que ce "pivot tactique" permet au groupe d'atteindre ses objectifs, tels que la collecte d'identifiants et le déplacement latéral au sein des réseaux des victimes, avec une exposition et une dépense de ressources réduites.
Sur la base de recoupements d'infrastructures avec des opérations connues de Sandworm (également appelées APT44 et Seashell Blizzard) et des schémas de ciblage constants, AWS évalue avec une haute confiance que ce cluster d'activité est lié à la Direction principale du renseignement de l'état-major général des forces armées russes (GRU). La campagne a maintenu un focus soutenu sur les infrastructures critiques occidentales, en particulier les entreprises énergétiques, avec des opérations s'étendant de 2021 à aujourd'hui.
Les détails techniques fournis par AWS indiquent qu'entre 2021 et 2025, le groupe a ciblé des infrastructures mondiales. Alors que les premières tactiques impliquaient l'exploitation de vulnérabilités dans les appareils WatchGuard (CVE-2022-26318) et les serveurs Confluence (CVE-2021-26084, CVE-2023-22518), l'attention s'est de plus en plus déplacée vers l'exploitation d'appareils mal configurés. En 2024, les attaques ont également inclus l'exploitation de vulnérabilités Veeam (CVE-2023-27532).
AWS exhorte les organisations à prioriser la sécurisation de leurs appareils réseau périphériques et à surveiller les attaques de rejeu d'identifiants pour se défendre contre cette menace persistante à l'approche de 2026.