Amazon Web Services (AWS), milyonlarca müşteriye çevrimiçi hizmetler sunan bulut web barındırma platformu, Rus devlet aktörlerinin son beş yıldır yanlış yapılandırılmış müşteri uç cihazlarına siber saldırılar düzenlediğini doğruladı. Amazon Tehdit İstihbaratı ekibi, bu hafta AWS web sitesinde paylaştığı bir güncellemede, Rus siber tehdit grubu Sandworm ile ilişkilendirilen bu uzun süreli saldırının detaylarını açıkladı. Amazon'un telemetri verileri, AWS üzerinde barındırılan müşteri ağ uç cihazlarına yönelik koordineli operasyonları ortaya koydu. Amazon, saldırının AWS'deki bir zayıflıktan kaynaklanmadığını, aksine müşterilerin yanlış yapılandırılmış cihazlarından kaynaklandığını belirtti.
Saldırı kampanyası, özellikle enerji sektörü olmak üzere Batı'daki kritik altyapıya odaklanmış ve 2021'den günümüze kadar devam etmiştir. Kuzey Amerika ve Avrupa'daki kritik altyapı sağlayıcıları ile bulut tabanlı ağ altyapısına sahip kuruluşlar hedeflenmiştir. Amazon'a göre, saldırılar "kolay hedefler" olarak görülen, muhtemelen yanlış yapılandırılmış müşteri cihazlarını hedef alarak bu kadar uzun süre devam edebilmiştir. Amazon Tehdit İstihbaratı'ndan CJ Moses, bu saldırının kritik altyapı hedeflemesinde "önemli bir evrimi" temsil ettiğini ve "yanlış yapılandırılmış müşteri ağ uç cihazlarının birincil ilk erişim vektörü haline geldiği, güvenlik açığı istismar faaliyetlerinin ise azaldığı taktiksel bir pivot" olduğunu ifade etti.
Amazon, kötü niyetli aktörlerin AWS müşterilerinin cihazlarındaki yanlış yapılandırmaları kullandığı için düzeltilmesi gereken bir AWS güvenlik açığı olmadığını belirtiyor. Şirket, etkilenen müşterileri bilgilendirdiğini ve yeni yıla girerken müşterilerini ağ cihazlarını izlemeye, denetlemeye ve devam eden saldırılara karşı tetikte olmaya çağırdığını ekledi.
Bu olay, siber saldırganların bulut hizmetlerinin kendisinden ziyade, müşteri tarafındaki yanlış yapılandırmaları hedefleyerek kritik altyapıya yönelik saldırı stratejilerini nasıl değiştirdiğini gözler önüne seriyor.