Célkeresztben az energiaszektor
A támadók fő célpontjai az energiaágazat vállalatai, beszállítóik, valamint további észak-amerikai és európai kritikus infrastruktúra-szolgáltatók – mindazok, amelyek felhőben üzemeltetett hálózati rendszereket használnak. A GRU folyamatosan támadja ezeket a cégeket, miközben vállalati routereket, VPN-eszközöket, távoli elérésű átjárókat és hálózatmenedzsment-eszközöket próbál feltörni. A támadók az online belső tudásbázisokat, kollaborációs platformokat és projektmenedzsment-megoldásokat is célba veszik.
Anomáliák és sebezhetőségek nyomában
Ezenfelül a GRU nemcsak nulladik napi (zero-day) sebezhetőségekre vadászik: évről évre nő a rosszul beállított eszközökön alapuló támadások aránya. Konkrét példát jelentett a WatchGuard tűzfalak súlyos sebezhetőségének kihasználása, majd 2022–23-ban két Confluence-sebezhetőség és a Veeam-sérülékenység kihasználása, amelyet a zsarolóvírus-bűnözők is használtak 2024-ben. A támadók a kompromittált EC2-példányokon keresztül építenek ki tartós hozzáférést az érintett szervezetek rendszereihez.
Állandó védelem és zavarás
Az Amazon folyamatosan próbálja akadályozni a támadók tevékenységét: értesíti az érintett ügyfeleket, korrigálja a kompromittált virtuális szervereket, és megosztja a releváns hírszerzési információkat piacvezetőkkel, érintett partnerekkel és a hatóságokkal. Megfigyelték, hogy a GRU-hoz köthető csapatok rendszeresen próbálkoznak belépési adatok tömeges újrahasználatával, de AWS-szolgáltatásokhoz eddig nem fértek hozzá sikeresen.
Legújabb védekezési javaslatok
Az Amazon biztonsági ajánlása szerint azonnal auditálni kell minden hálózati átjáróeszközt, át kell nézni az összes bejelentkezési naplót, különös figyelemmel a jelszó-újrahasználatra, és monitorozni kell a rendszergazdai felületekre irányuló ismeretlen IP-címekről indított interaktív munkameneteket. A helyzet súlyosságát mutatja az is, hogy az amerikai, valamint több mint húsz nemzetközi kormányzati szerv közösen hívta fel az infrastruktúra-üzemeltetők figyelmét a proorosz hackercsoportok által jelentett fenyegetésre – a GRU tevékenysége ugyanis továbbra is zajlik.
