AWS: Russische hackers vallen infrastructuur aan via 'achterdeur'
Amazon Threat Intelligence heeft een grootschalige, jarenlange campagne van de Russische geheime dienst (GRU) blootgelegd. De aanvalsgroep, bekend onder de naam Sandworm (of APT44), richt zich specifiek op de westerse vitale sector, met een sterke focus op de energievoorziening. Opvallend is dat de hackers hun tactiek hebben veranderd: ze richten zich niet langer op complexe softwarelekken, maar op eenvoudige configuratiefouten in routers en VPN-gateways.
In een uitgebreid rapport stelt CJ Moses, CISO van Amazon Integrated Security, dat de aanvallers zich de afgelopen jaren hebben aangepast. Waar zij voorheen zochten naar 'zero-day' kwetsbaarheden (onbekende gaten in software), kiezen zij nu voor de weg van de minste weerstand: het binnendringen via slecht geconfigureerde netwerkapparaten aan de rand van bedrijfsnetwerken.
De tactiek: 'Laaghangend fruit'
Volgens Amazon maakt de Russische groep gebruik van beheerdersinterfaces die per ongeluk zijn blootgesteld aan het publieke internet. Eenmaal binnen installeren de hackers software die het netwerkverkeer onderschept. Op deze manier bemachtigen zij inloggegevens van medewerkers terwijl deze over het netwerk worden verzonden.
"Deze tactiek stelt de aanvallers in staat om dezelfde strategische doelen te bereiken – zoals toegang tot kritieke netwerken en diefstal van inloggegevens – terwijl de kans op ontdekking aanzienlijk kleiner is," aldus Moses. De buitgemaakte gegevens worden vervolgens hergebruikt om toegang te krijgen tot clouddiensten en andere online platformen van de slachtoffers.
Wereldwijd bereik, focus op energie
De campagne, die al sinds 2021 loopt en gedurende heel 2025 is geintensiveerd, kent een breed scala aan slachtoffers in Noord-Amerika, Europa en het Midden-Oosten. Vooral de energie-toeleveringsketen is doelwit:
Elektriciteitsbedrijven: Directe aanvallen op nutsbedrijven.
Managed Security Service Providers (MSSP's): IT-bedrijven die de beveiliging voor de energiesector regelen.
Telecommunicatie: Aanbieders van kritieke communicatienetwerken.
Amazon benadrukt dat de aanvallers ook gebruikmaken van legitieme, maar gecompromitteerde servers over de hele wereld om hun eigen sporen te wissen. Het rapport bevat een lijst met IP-adressen (Indicators of Compromise) die bedrijven kunnen gebruiken om te controleren of zij doelwit zijn geweest.
Actie vereist voor 2026
Met het oog op het nieuwe jaar adviseert Amazon organisaties om hun netwerkbeveiliging fundamenteel te herzien. De prioriteit moet liggen bij het controleren van de configuratie van routers en VPN-concentrators. "Organisaties moeten controleren of beheerdersportalen onbedoeld vanaf het internet bereikbaar zijn en overstappen op sterke multifactorauthenticatie (MFA)," stelt het rapport.
Amazon heeft inmiddels de getroffen klanten op haar eigen AWS-platform geïnformeerd en samengewerkt met fabrikanten van netwerkapparatuur om de operaties van de Russische hackers te verstoren. De strijd tegen deze vorm van staat-gesponsorde spionage blijft echter een kat-en-muisspel dat vraagt om constante waakzaamheid van de gehele sector.
![KPN NLSecure[ID] 2026 event belicht strijd tegen cyberaanvallen](https://dim-platform.transforms.svdcdn.com/production/uploads/articles/187755_security-resilience-weerbaarheid-data-protection-wk-2021.jpg?w=180&h=140&auto=compress%2Cformat&fit=crop&dm=1679988851&s=6d046b6595323918411c92fafa85cede)
