Исследователи безопасности из Amazon Threat Intelligence проанализировали государственную кампанию по атакам на критически важные сетевые устройства в западных странах и предположили, что её спонсирует Россия. Хотя источник остаётся неизвестным, эксперты «с высокой степенью уверенности» связывают его с ГРУ — военной разведкой страны (официально переименована в Главное управление Генерального штаба ВС РФ/ГУ ГШ ВС РФ).
Согласно недавнему отчёту Amazon, эта неназванная группа атаковала глобальную инфраструктуру в период с 2021 по 2025 год. Типичными целями были организации энергетического сектора, облачные сервисы и поставщики объектов КИИ. В ходе предыдущих кампаний были отмечены случаи эксплуатации уязвимостей в WatchGuard — в 2021 и 2022 году, в Confluence — в 2022 и 2023 году и в Veeam — в 2024 году.
Как отмечают в Amazon, с 2025 года хакеры изменили свою тактику, отказавшись от эксплуатации уязвимостей и предпочитая атаковать неправильно настроенные устройства на периферии сети клиентов, в том числе размещённые на Amazon Web Services (AWS), чтобы получить первоначальный доступ к своим жертвам. В отчёте подчеркивается, что неправильная настройка устройств происходит на стороне клиента, а не в облачной инфраструктуре AWS.
«Эта тактическая адаптация позволяет достичь тех же оперативных результатов, постоянного доступа к критически важным сетям инфраструктуры, сбора учётных данных и горизонтального перемещения в онлайн-сервисы организаций-жертв, одновременно снижая уязвимость злоумышленника и затраты ресурсов», — уточнили безопасники.
Подозрения в адрес ГРУ основаны на сравнении с предыдущими операциями, известными как Sandworm, APT44 или Seashell Blizzard. Последняя кампания (направленная на неверно настроенные периферийные устройства) также имеет инфраструктурные пересечения с группой, отслеживаемой Bitdefender как CurlyCOMrades.
«Мы считаем, что это могут быть взаимодополняющие операции в рамках более широкой кампании ГРУ, где один кластер фокусируется на доступе к сети и первоначальном компрометировании, а другой занимается обеспечением постоянного присутствия на хосте и обходом защиты», — пришли к выводу в Amazon.
Усам Оздемиров
