Amazon bevestigt jarenlange Russische cyberaanvallen op apparaten van AWS-klanten

Amazon-webservices (AWS), het cloudwebhostingplatform van Amazon dat online diensten levert aan miljoenen klanten, heeft bevestigd dat Russische staatsactoren de afgelopen vijf jaar verkeerd geconfigureerde customer edge-apparaten hebben aangevallen, blijkt uit een nieuwe update van het bedrijf.

Eerder deze week publiceerde Amazon Threat Intelligence deel updates op de AWS-website met details over jarenlange aanvallen uitgevoerd door Russische cyberdreigingsgroepen. Het Amazon-team ontleedde de aanval en vond links naar een bedreigingsacteur die bekend staat als Sandworm, die verbonden is met de Russische militaire inlichtingendienst GRU.

Amazon-telemetrie onthult gecoördineerde operaties tegen netwerkrandapparaten van klanten die op AWS worden gehost. Volgens Amazon werd dit niet veroorzaakt door een zwakte in AWS, maar blijkbaar door verkeerd geconfigureerde apparaten van klanten.

“Deze campagne toont een voortdurende focus op kritieke infrastructuur in het Westen, met name de energiesector, die van 2021 tot en met vandaag actief is”, zegt CJ Moses van Amazon Threat Intelligence in zijn functie.

Volgens Amazonede aanvallen waren gericht op “organisaties uit de energiesector in westerse landen, aanbieders van kritieke infrastructuur in Noord-Amerika en Europa, en organisaties met een door de cloud gehoste netwerkinfrastructuur.” Amazon zei dat de campagne gericht was op ‘onbedoelde resultaten’ van mogelijk verkeerd geconfigureerde apparaten van klanten, waardoor aanvallen mogelijk over langere perioden konden voortduren.

Moses zei dat deze aanvallen “een significante evolutie vertegenwoordigen in het aanvallen van kritieke infrastructuur” en noemde het een “tactische spil waarin ogenschijnlijk verkeerd geconfigureerde edge-apparaten van klantennetwerken de belangrijkste initiële toegangsvector werden, terwijl de exploitatie van kwetsbaarheden afnam.”

Volgens Amazon zijn er in principe geen AWS-exploits die moeten worden gepatcht, omdat criminelen verkeerd geconfigureerde apparaten op AWS-klanten bewapenen. Amazon zei dat het de getroffen klanten op de hoogte had gebracht. Nu we het nieuwe jaar ingaan, dringt Amazon er bij zijn klanten op aan om netwerkapparaten te monitoren en te controleren en waakzaam te blijven terwijl de aanvallen aanhouden.

UPDATE: 19 december 2025, 17:54 uur EST Dit bericht is bijgewerkt om te verduidelijken dat AWS geen slachtoffer was van deze aanval en dat er geen gecoördineerde operatie heeft plaatsgevonden vanwege een zwakte in AWS. Het lijkt erop dat het apparaat van de klant verkeerd is geconfigureerd.