L’équipe étasunienne de recherche en cybersécurité d’Amazon Web Service révèle que le groupe de pirates russes Sandworm, affilié à l’agence de renseignement militaire russe GRU, est à l’origine d’une campagne de cyberattaques sur des infrastructures occidentales depuis cinq ans. Cette série d’attaques, baptisée ‘Years-long’ , cible des clients européens et nord-américains d’AWS dans des secteurs sensibles, tels que l’énergie, les télécoms et les infrastructures critiques.
« La campagne consiste à voler des identifiants et à compromettre des appareils mal configurés, hébergés sur AWS, afin de permettre aux espions du Kremlin d’accéder en permanence à des réseaux sensibles », déclare CJ Moses, responsable de la sécurité des systèmes d’information (RSSI) chez Amazon Integrated Security. « Les opérations malveillantes s’étendent de 2021 à aujourd’hui », ajoute-t-il dans un rapport. Les appareils visés sont des périphériques réseaux, notamment des routeurs, des concentrateurs VPN, des passerelles d’accès à distance, des appareils de gestion de réseau et des systèmes de gestion de projet basés sur le cloud.
Selon Amazon Threat Intelligence, les pirates russes ont d’abord exploité la faille de sécurité critique CVE-2022-26318 dans les appareils WatchGuard Firebox et XTM. Ils ont ensuite exploité deux vulnérabilités critiques dans Confluence, CVE-2021-26084 et CVE-2023-22518, entre 2022 et 2023, avant de profiter d’une vulnérabilité de Veeam (CVE-2023-27532) en 2024.
« Exploiter les failles de configuration plutôt que les failles de sécurité très médiatisées réduit « considérablement » le risque pour les attaquants « d’exposer leurs opérations par le biais d’activités d’exploitation de vulnérabilités plus détectables », précise CJ Moses. « A l’horizon 2026, les entreprises devront donner la priorité à la sécurisation de leurs périphériques réseau afin de se défendre contre cette menace persistante ».