СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.12.2025
#ИБ#Облака

Российская спонсируемая кампания против энергетики: компрометация AWS и периферийных устройств

Amazon Threat Intelligence опубликовала подробный отчёт о масштабной кибератаки, спонсируемой российским государством, которая велась в период с 2021 по 2025 год и была направлена на критические объекты Запада с особым акцентом на энергетический сектор. Кампания демонстрирует стратегический сдвиг в тактике злоумышленников: вместо массового использования уязвимостей они сделали ставку на эксплуатацию неправильно сконфигурированных периферийных устройств клиентских сетей.

Ключевые выводы

  • Временные рамки операции: 2021—2025 годы.
  • Основная цель — критическая инфраструктура, прежде всего энергетический сектор.
  • Смена тактики: злоумышленники предпочитают компрометацию edge-устройств и их неправильную конфигурацию вместо прямого использования эксплойтов.
  • Модель сбора данных — пассивный сбор, а не немедленное кража учетных данных: между компрометацией устройств и последующими попытками аутентификации проходит значительное время.
  • Злоумышленники способны перехватывать трафик аутентификации и повторно использовать украденные учётные данные организаций-жертв.
  • Поведение атак согласуется с известными методиками группы Sandworm, включая перехват сетевого трафика и целенаправленное размещение на периферии сети.
  • Выявлено, что злоумышленники скомпрометировали инфраструктуру, размещённую в Amazon Web Services (AWS) — не вследствие уязвимостей AWS, а в результате ошибки конфигурации вспомогательного устройства (support device).
  • Зафиксирован постоянный интерактивный доступ с actor-controlled IP-адресов к заражённым экземплярам EC2 — с использованием consumer network client software.
  • Наблюдаемое совпадение с активностью, приписываемой Bitdefender группе «Curly COMrades», указывает на возможное сотрудничество в рамках более широкой кампании, предположительно связанной с российским военным разведывательным управлением GRU.
  • Amazon предприняла меры по пресечению текущей активности злоумышленников и обязуется продолжать сотрудничество с сообществом безопасности для усиления коллективной защиты.

Механика атаки: как действовали злоумышленники

Атака начиналась с компрометации периферийных устройств клиентских сетей — маршрутизаторов, шлюзов и других edge-устройств, зачастую имеющих некорректные настройки или уязвимые конфигурации административного доступа. После этого злоумышленники осуществляли пассивный сбор трафика для перехвата данных аутентификации пользователей.

Важно, что злоумышленники не стремились сразу «выжать» доступы: между моментом компрометации и попытками входа в сервисы жертв наблюдалась задержка, что характерно для модели накопления и обкатки учетных данных. Полученные учётные данные потом использовались для аутентификаций в целевых сервисах жертв.

Дальнейшая стадия включала использование скомпрометированных AWS-ресурсов: заражённые или неправильно защищённые экземпляры EC2 служили платформой для координации операций. По данным Amazon, это произошло не из-за уязвимостей в AWS, а из-за ошибок конфигурации вспомогательных устройств, что позволило злоумышленникам разместить свое ПО и установить постоянные соединения с actor-controlled IP-адресов.

Связи с Sandworm и Curly COMrades

Методики — перехват сетевого трафика и фокус на edge-устройствах — совпадают с ранее известной активностью группы Sandworm. Параллельно специалисты Amazon отметили пересечения в тактиках и телеметрии с группой, которую Bitdefender называет «Curly COMrades». Эта связь может указывать как на координацию между группами, так и на использование общих инструментов и методов в рамках более широкой кампании, предположительно связанной с GRU.

Реакция Amazon и взаимодействие сообщества

«Amazon взяла на себя обязательство продолжать сотрудничество с сообществом безопасности в целях усиления коллективной защиты от спонсируемых государством угроз, нацеленных на критически важную инфраструктуру».

Amazon уже предприняла меры по пресечению текущей активности злоумышленников, сократив доступную им поверхность атаки и закрыв обнаруженные векторные пути. Компания нацелена на дальнейший обмен данными и IOCs с партнёрами по отрасли для оперативного реагирования.

Рекомендации для организаций критической инфраструктуры

В преддверии 2026 года энергетическим компаниям и другим операторам критической инфраструктуры Amazon и эксперты по кибербезопасности рекомендуют приоритетно выполнить следующие действия:

  • Произвести срочную проверку журналов доступа и попыток аутентификации на предмет признаков, совпадающих с известными IOCs.
  • Усилить мониторинг и управление периферийными (edge) устройствами: обновить прошивки, убрать дефолтные учётные записи, проверить конфигурации поддержки (support devices) и доступы администратора.
  • Внедрить сегментацию сети и ограничение привилегированных мостов между корпоративной и OT/ICS-инфраструктурой.
  • Обязательное включение многофакторной аутентификации (MFA) для доступа к критическим сервисам и консольным панелям.
  • Периодическая ротация и проверка учётных данных, контроль повторного использования паролей и обнаружение подозрительных повторных аутентификаций из неожиданных локаций.
  • Мониторинг и защита экземпляров EC2 и других облачных ресурсов: управление правами доступа, аудит ключей и ролей, защита каналов управления.
  • Блокировка и отслеживание подозрительных actor-controlled IP-адресов, совместный обмен IOCs с отраслевыми партнёрами и CERT/CSIRT.
  • Организация активного threat hunting и тестирования сценариев перехвата аутентификаций, включая имитацию атак на периферию.

Что важно помнить

Кампания подчёркивает, что злоумышленники всё чаще выбирают «мягкие» цели — неправильно сконфигурированные периферийные устройства и вспомогательную инфраструктуру — вместо прямых эксплойтов в основных сервисах. Это делает критически важным контроль конфигураций, своевременное обнаружение необычных аутентификаций и активное сотрудничество между облачными провайдерами, операторами инфраструктуры и сообществом информационной безопасности.

Организациям следует воспринимать этот отчёт как сигнал к немедленным проверкам своих сетей и усилению защиты на границе между корпоративной и облачной инфраструктурой — иначе риск скрытого перехвата учётных данных и длительного несанкционированного присутствия увеличивается.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: