Amazons hotintelligens identifierar rysk cybergrupp som riktar sig mot västerländsk kritisk infrastruktur

Amazon Web Services (AWS) meddelade på tisdagen att de har identifierat en rysk statsstödd cyberhotgrupp som under flera år har riktat attacker mot västerländsk kritisk infrastruktur, med särskilt fokus på energisektorn. Rapporten belyser en betydande utveckling av gruppens taktiker.

Enligt AWS hotintelligens har gruppen börjat prioritera felkonfigurerade kundnära nätverksenheter som sin primära ingångsvektor, istället för att förlita sig på traditionell sårbarhetsexploatering. Denna "taktiska pivot" möjliggör samma operativa resultat, såsom skörd av autentiseringsuppgifter och lateral rörelse inom målorganisationernas onlinetjänster och infrastruktur, samtidigt som aktörens exponering och resursanvändning minskar.

Baserat på infrastrukturöverlappningar med kända Sandworm-operationer (även känd som APT44 och Seashell Blizzard) och konsekventa inriktningsmönster, bedömer AWS med hög säkerhet att denna aktivitetskluster är associerad med Rysslands Generalstabens militära underrättelsetjänst (GRU). Kampanjen har upprätthållit ett konsekvent fokus på västerländsk kritisk infrastruktur, särskilt energisektorn, med verksamhet som sträcker sig från 2021 till nutid.

Tekniska detaljer visar att mellan 2021 och 2025 observerades ihållande attacker mot global infrastruktur, med en ökad inriktning på energisektorn. Även om tidigare taktiker inkluderade exploatering av WatchGuard-enheter (CVE-2022-26318) och Confluence (CVE-2021-26084, CVE-2023-22518), har fokus gradvis skiftat till att utnyttja felkonfigurerade enheter. År 2024 inkluderade attackerna även exploatering av Veeam-sårbarheter (CVE-2023-27532).

AWS uppmanar organisationer att prioritera säkerheten för sina nätverksenheter och att övervaka för attacker med autentiseringsuppgifter för att försvara sig mot detta ihållande hot under 2026.