СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.12.2025
#ИБ

ГРУ‑связанные хакеры атакуют энергетику через неправильно настроенные AWS EC2

Amazon Threat Intelligence выявила кампанию, спонсируемую российским государством, в ходе которой с 2021 года целенаправленно атакуется критическая инфраструктура Запада, в особенности энергетический сектор. Главное отличие этой операции — отказ от классических эксплойтов в пользу компрометации неправильно сконфигурированных периферийных устройств клиентской сети, размещённых на AWS, что позволяет злоумышленникам получать первоначальный доступ и пассивно собирать учетные записи для последующего перемещения внутри инфраструктур жертв.

Ключевые выводы

  • Кампания действует с 2021 года и фокусируется на энергетическом секторе и других элементах критической инфраструктуры.
  • Основной вектор первоначального доступа — неправильно сконфигурированные периферийные устройства клиентских сетей в облачной среде AWS, а не уязвимости в самой AWS.
  • Операции по сбору учетных записей преимущественно пассивные: злоумышленники, по данным анализа, перехватывают трафик аутентификации вместо прямого кражи учетных данных.
  • Для доступа к онлайн-сервисам жертв злоумышленники используют учетные данные организаций, а не данные конкретных устройств.
  • Злоумышленники поддерживали постоянные соединения с скомпрометированными экземплярами EC2, что указывает на интерактивный и устойчивый доступ.
  • Обнаружено совпадение инфраструктуры этой группировки с инфраструктурой, используемой группой «Curly COMrades» — что может указывать на координацию в рамках более широкой кампании, связанной с ГРУ.
  • Amazon инициировала операции по значительному нарушению действий этой группировки и призывает к сотрудничеству в сообществе по кибербезопасности.

Как действуют злоумышленники

Amazon отмечает, что наблюдаемый сдвиг в тактике: «использование неправильно сконфигурированных периферийных устройств клиентской сети стало основным направлением для первоначального доступа». Это позволяет злоумышленникам:

  • пассивно перехватывать трафик аутентификации и выявлять рабочие учетные записи;
  • использовать полученные (или перехваченные) организационные учетные данные для доступа к облачным и SaaS-сервисам;
  • минимизировать след (low footprint) и снизить потребность в сложных эксплойтах;
  • поддерживать постоянное подключение к скомпрометированным EC2-экземплярам для дальнейшего поиска и извлечения данных.

Связи и геополитический контекст

Анализ показал совпадение инфраструктуры этой группировки с инфраструктурой, ассоциируемой с «Curly COMrades». Такое совпадение может указывать на совместные или взаимодополняющие операции в рамках более масштабной кампании, которую, по оценкам аналитиков, может курировать Главное разведывательное управление Генерального штаба России (ГРУ).

Действия Amazon и сотрудничество

В ответ на выявленную активность Amazon предприняла меры по «значительному нарушению» операций злоумышленников. Компания также подчёркивает важность обмена информацией и совместных усилий в сообществе кибербезопасности для снижения рисков, связанных со спонсируемыми государством угрозами критической инфраструктуре.

Рекомендации для организаций энергетического сектора и операторов критической инфраструктуры

В качестве превентивных мер Amazon и эксперты по безопасности рекомендуют:

  • Просмотреть журналы доступа на предмет попыток аутентификации, связанных с известными IOCs, и особенно — попыток, появившихся спустя значительное время после компрометации периферийных устройств.
  • Проверить и исправить конфигурации периферийных устройств клиентских сетей, размещённых в AWS (включая экземпляры EC2), чтобы исключить ненадёжные публичные подключенные сервисы и открытые административные порты.
  • Мониторить постоянные и аномальные соединения к EC2-экземплярам и быстро реагировать на подозрительную активность.
  • Внедрить жесткую сегментацию сети и политики least privilege для доступа к критическим системам.
  • Обязать использование MFA для доступа к облачным сервисам и регулярную ротацию учетных данных и секретов.
  • Интегрировать threat intelligence (включая обновлённые IOC) в SIEM/логирование и процессы детекции.
  • Обновить планы инцидент-реакции с учётом сценариев пассивного перехвата трафика и возможности долгого «тихого» присутствия злоумышленников.
  • Установить сотрудничество с облачными провайдерами и отраслевыми сообществами для обмена данными по угрозам и совместного реагирования.

Что важно помнить

Главный урок этой кампании — уязвимость часто создают не только программные баги, но и ошибки конфигурации. В условиях целенаправленных, финансируемых государством операций злоумышленники всё чаще выбирают методы, позволяющие оставаться незаметными и максимально эффективно использовать слабые настройки инфраструктуры. Операторам критических систем следует считать приоритетом аудит конфигураций в облаке, усиление мониторинга аутентификаций и обмен информацией об индикаторах компрометации.

Рекомендация к действию: в 2026 году организациям энергетического сектора и ответственным за критическую инфраструктуру рекомендуется в первую очередь просмотреть журналы доступа на предмет попыток аутентификации, связанных с выявленными IOCs, и немедленно реагировать на обнаруженные аномалии.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: