Российское Главное разведывательное управление на протяжении нескольких лет вело масштабную кибершпионскую кампанию против энергетической инфраструктуры стран Запада. К такому выводу пришла компания Amazon Web Services в новом отчете своей группы по анализу угроз. Источник: The cyber express
Ответственность за эту деятельность аналитики связывают с группой Sandworm, также известной как APT44, которая, по оценке компании, тесно связана с российским ГРУ. В отчете говорится, что атаки продолжаются как минимум с 2021 года и фиксируются по настоящее время.
Расследование AWS показало, что первоначальный доступ к системам жертв злоумышленники получали не из-за уязвимостей самой облачной платформы, а за счет неправильно настроенных устройств клиентов. Речь идет о сетевых периферийных и виртуальных устройствах, которые организации не обеспечили должным уровнем защиты. Именно эти ошибки стали ключевым входом для атак.
Целью кампании являлась кража учетных данных и обеспечение долгосрочного скрытого присутствия в системах жертв. Для этого использовалась компрометация программного обеспечения сторонних сетевых устройств, работающих, в том числе, на платформах Amazon Elastic Compute Cloud. Полученные учетные данные позволяли злоумышленникам расширять доступ, перемещаться внутри сетей и повышать свои привилегии, особенно в среде операторов критической инфраструктуры.
В AWS отметили, что группа, связанная с ГРУ, использовала тактики, методы и процедуры, хорошо знакомые по предыдущим операциям Sandworm. Среди них аналитики выделили эксплуатацию ошибок конфигурации на стороне клиентов для получения первоначального доступа, установление постоянных сетевых соединений с контролируемыми злоумышленниками IP-адресами, а также систематический сбор учетных данных как конечную цель атак.
Анализ инфраструктуры, задействованной в этих операциях, выявил совпадения с ранее известными кампаниями Sandworm, включая разрушительные атаки на энергосистему Украины в 2015 и 2016 годах. Это позволило AWS с высокой степенью уверенности связать текущую шпионскую активность с данной группой. Дополнительным подтверждением стали недавние выводы компании Cyble, специалисты которой обнаружили сложные бэкдоры в системах защиты, методы работы которых напоминали подходы российской группы Sandworm.
Особое внимание, как подчеркивается в докладе, уделялось глобальной цепочке поставок энергетического сектора. В число целей входили электроэнергетические компании, поставщики энергии и провайдеры управляемых услуг безопасности, обслуживающие энергетических операторов, а также технологические и облачные платформы, используемые для управления критической инфраструктурой. Кроме того, атаки затрагивали телекоммуникационных операторов в различных регионах.
География операций, по данным AWS, носила глобальный характер и охватывала Северную Америку, Западную и Восточную Европу, а также Ближний Восток. Это, как отмечают аналитики, указывает на стратегическую задачу по закреплению доступа к операционным технологиям и корпоративным сетям, управляющим распределением электроэнергии и энергетическими потоками в странах НАТО и у их союзников.
Напомним, секретное подразделение российской военной разведки, ранее известное за участие в убийствах и дестабилизирующих операциях в Европе, связано с кибершпионажем и диверсиями, говорится в совместном докладе, опубликованном правительством США и его союзниками.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet