Sandworm a kritikus infrastruktúrákon
Az Amazon Threat Intelligence elemzése szerint egy orosz állami támogatású kiberfenyegető csoport, a Sandworm (APT44, Seashell Blizzard) évek óta folyamatosan célozza meg Nyugat kritikus infrastruktúráját, különösen az energiaszektort. A kampány 2021 óta tart, és jelentős taktikai változásokat mutat, míg korábban főleg sebezhetőségek kihasználására építettek, most elsősorban rosszul konfigurált, internetre néző hálózati eszközöket használnak elsődleges behatolási pontként. Ezek az eszközök gyakran exponált kezelőfelületekkel rendelkeznek, amelyek könnyen kiaknázhatók.
A csoport célja tartós hozzáférés biztosítása a kritikus infrastruktúra hálózataihoz, valamint hitelesítő adatok gyűjtése, amelyek segítségével később más célszervek online szolgáltatásait is támadhatják. Az Amazon szerint a támadók sikeresen kompromittálták több energiaszektorbeli szervezet hitelesítő végpontokat 2025 során, bár ezek a kísérletek eddig nem jártak sikerrel. A fenyegető csoport tevékenysége azonban továbbra is aktív és veszélyes, hiszen a kompromittált eszközökről szerzett hitelesítő adatokat később más célpontok ellen is felhasználhatják.
Az Amazon szerint ez a kampány jelentős fejlődést jelent a kritikus infrastruktúra elleni támadások terén, és figyelmezteti a szervezeteket, hogy ellenőrizzék és biztonságosabbá tegyék az exponált hálózati eszközeiket, valamint erősítsék meg a hitelesítési folyamatokat. A cég saját telemetriájában és fenyegetési adataiban azonosította a Sandworm infrastruktúráját, és magas biztonsággal állítja, hogy a tevékenység a GRU-hoz, Oroszország katonai hírszerzéséhez köthető.
Az IoC-k elérhetőek az Amazon Security Blogon és a GuardDuty szolgáltatásban, valamint a CISA és más fenyegetési információs platformokon keresztül. Az Amazon aktívan osztja meg ezeket az adatokat a biztonsági közösséggel és a kritikus infrastruktúra üzemeltetőivel, hogy segítse a védekezést.
