Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Amazon ја наруши активноста на руски GRU хакери кои напаѓаа edge мрежни уреди

Објавено: 17.12.2025

Тимот за Amazon Threat Intelligence ги наруши активните операции припишани на хакери кои работат за руската странска воена разузнавачка агенција GRU, кои ги таргетирале cloud инфраструктурите на клиентите.

Провајдерот на cloud услуги забележал фокус на западната критична инфраструктура, особено енергетскиот сектор, во активност што започнала во 2021 година.

Со текот на времето, заканувачкиот актер преминал од експлоатирање ранливости (zero-day и познати) кон искористување на погрешно конфигурирани edge уреди за првичен пристап.

Помалку експлоатирани ранливости

CJ Moses, CISO на Amazon Integrated Security, забележува дека до 2024 година, „долгогодишната“ кампања експлоатирала повеќе ранливости во WatchGuard, Confluence и Veeam како примарен вектор за првичен пристап и таргетирала погрешно конфигурирани уреди.

Оваа година, пак, заканувачкиот актер помалку се потпирал на ранливости и повеќе на таргетирање на погрешно конфигурирани мрежни edge уреди на клиентите, како што се корпоративни рутери, VPN gateways, уреди за управување со мрежата, платформи за соработка и cloud-базирани решенија за управување со проекти.

„Таргетирањето на ‘лесно достапните цели’ односно веројатно погрешно конфигурирани уреди на клиенти со изложени управувачки интерфејси ги постигнува истите стратешки цели, а тоа се постојан пристап до мрежите на критичната инфраструктура и прибирање креденцијали за пристап до онлајн услугите на организациите-жртви“, објаснува Moses.

„Промената во оперативното темпо на заканувачкиот актер претставува загрижувачка еволуција: иако таргетирањето на погрешни конфигурации на клиенти трае најмалку од 2022 година, актерот задржал континуиран фокус на оваа активност во 2025 година, додека го намалил вложувањето во zero-day и N-day експлоатација“, додава тој.

Сепак, тактичката еволуција не одразува промена во оперативните цели на групата: кражба на креденцијали и латерално движење низ мрежата на жртвата со што е можно помала изложеност и што помалку ресурси.

Врз основа на шемите на таргетирање и преклопувањата во инфраструктурата забележани во нападите од Sandworm (APT44, Seashell Blizzard) и Curly COMrades, Amazon со висока доверба проценува дека набљудуваните напади биле извршени од хакери кои работат за рускиот GRU.

Amazon смета дека хакерите Curly COMRades, првпат пријавени од Bitdefender, можеби се задолжени за активности по компромитирање во поширока GRU кампања која вклучува повеќе специјализирани субкластер-групи.

Ширење низ мрежата

Иако Amazon не го набљудувал директниот механизам за екстракција, доказите во форма на доцнења помеѓу компромитирањето на уредите и искористувањето на креденцијалите, како и злоупотребата на организациски креденцијали, укажуваат на пасивно снимање на пакети и пресретнување на сообраќајот.

Компромитираните уреди биле мрежни апарати управувани од клиенти, хостирани на AWS EC2 инстанции, а Amazon забележал дека нападите не ги користеле слабостите на самата AWS услуга.

По откривањето на нападите, Amazon презел итни мерки за заштита на компромитираните EC2 инстанции и ги известил погодените клиенти за пробивот. Дополнително, споделиле разузнавачки информации со засегнатите добавувачи и индустриски партнери.

„Преку координирани напори, од моментот на откривање на оваа активност, ги нарушивме активните операции на заканувачкиот актер и ја намаливме површината за напад достапна за овој субкластер на закани“, соопшти Amazon.

Amazon ги споделил инкриминираните IP адреси во својот извештај, но предупредил да не се блокираат без претходна контекстуална истрага, бидејќи станува збор за легитимни сервери кои биле компромитирани за да го проксираат сообраќајот на заканувачот.

Компанијата дополнително препорача низа „итни приоритетни активности“ за следната година, како што се ревизија на мрежните уреди, следење на активности за повторна употреба на креденцијали и мониторинг на пристапот до административни портали.

Во AWS околини конкретно, се препорачува изолирање на управувачките интерфејси, ограничување на security групите и овозможување на CloudTrail, GuardDuty и VPC Flow Logs.

Извори:

  • Bleeping Computer – Amazon disrupts Russian GRU hackers attacking edge network devices Bleeping Computer