Az orosz GRU éveken át csapott le a kritikus infrastruktúrára

A fejlett orosz kibertámadások évek óta komoly veszélyt jelentenek a nyugati energia-, távközlési és technológiai szektorra. Az Amazon biztonsági vezetője, CJ Moses szerint az orosz katonai hírszerzés (GRU) 2021 óta folytat kitartó akciókat, amelyek során érzékeny hálózatokhoz szerez hozzáférést: ellopja a belépési adatokat, kihasználja a rosszul konfigurált eszközöket, hogy saját céljaira fordítsa a nyugati felhőrendszereket, különösen az Amazon Web Services-t (AWS).

Célkeresztben az energiaszektor

A támadók fő célpontjai az energiaágazat vállalatai, beszállítóik, valamint további észak-amerikai és európai kritikus infrastruktúra-szolgáltatók – mindazok, amelyek felhőben üzemeltetett hálózati rendszereket használnak. A GRU folyamatosan támadja ezeket a cégeket, miközben vállalati routereket, VPN-eszközöket, távoli elérésű átjárókat és hálózatmenedzsment-eszközöket próbál feltörni. A támadók az online belső tudásbázisokat, kollaborációs platformokat és projektmenedzsment-megoldásokat is célba veszik.

Anomáliák és sebezhetőségek nyomában

Ezenfelül a GRU nemcsak nulladik napi (zero-day) sebezhetőségekre vadászik: évről évre nő a rosszul beállított eszközökön alapuló támadások aránya. Konkrét példát jelentett a WatchGuard tűzfalak súlyos sebezhetőségének kihasználása, majd 2022–23-ban két Confluence-sebezhetőség és a Veeam-sérülékenység kihasználása, amelyet a zsarolóvírus-bűnözők is használtak 2024-ben. A támadók a kompromittált EC2-példányokon keresztül építenek ki tartós hozzáférést az érintett szervezetek rendszereihez.

Állandó védelem és zavarás

Az Amazon folyamatosan próbálja akadályozni a támadók tevékenységét: értesíti az érintett ügyfeleket, korrigálja a kompromittált virtuális szervereket, és megosztja a releváns hírszerzési információkat piacvezetőkkel, érintett partnerekkel és a hatóságokkal. Megfigyelték, hogy a GRU-hoz köthető csapatok rendszeresen próbálkoznak belépési adatok tömeges újrahasználatával, de AWS-szolgáltatásokhoz eddig nem fértek hozzá sikeresen.

Legújabb védekezési javaslatok

Az Amazon biztonsági ajánlása szerint azonnal auditálni kell minden hálózati átjáróeszközt, át kell nézni az összes bejelentkezési naplót, különös figyelemmel a jelszó-újrahasználatra, és monitorozni kell a rendszergazdai felületekre irányuló ismeretlen IP-címekről indított interaktív munkameneteket. A helyzet súlyosságát mutatja az is, hogy az amerikai, valamint több mint húsz nemzetközi kormányzati szerv közösen hívta fel az infrastruktúra-üzemeltetők figyelmét a proorosz hackercsoportok által jelentett fenyegetésre – a GRU tevékenysége ugyanis továbbra is zajlik.

2025, adminboss, go.theregister.com alapján