文章总结： AWS发布报告将针对云服务的多年黑客行动与俄罗斯黑客组织联系起来，这些攻击主要针对能源行业。攻击者通过攻击客户网络边缘设备拦截传输中的凭证。AWS已阻止许多攻击但警告类似策略可能被用于其他云服务。建议组织审核网络设备、分析日志识别凭证重用、监控异常地理位置认证，并实施身份访问管理控制。配置错误的边缘计算设备使此类攻击威胁加剧。 综合评分： 84 文章分类： 威胁情报,漏洞分析,云安全,网络安全,解决方案

亚马逊报告将旨在破坏云服务的多年黑客行动与俄罗斯联系起来

会杀毒的单反狗

军哥网络安全读报

2025年12月16日 09:01 湖北

导读

亚马逊网络服务 (AWS) 今天发布了一份报告，详细介绍了与俄罗斯黑客组织有关的一系列网络攻击，这些攻击主要针对北美、欧洲和中东的能源行业。

亚马逊最新威胁情报报告得出结论，自 2021 年以来，网络攻击一直在演变，其依据是之前通过 AWS 遥测数据观察到的与已知的 Sandworm 操作相关的重叠基础设施。

亚马逊集成安全首席信息安全官 CJ Moses 表示，虽然 AWS 已经能够阻止许多此类网络攻击并修复其 EC2 云服务中任何受影响的实例，但网络安全团队应该假设类似的策略正被用于破坏组织可能连接到配置错误的边缘计算平台的其他云服务。

Moses指出，虽然阻止这类攻击应该被视为任何网络安全战略的基本能力，但事实仍然是，仍然存在大量配置错误的边缘计算设备和平台，供恶意攻击者利用。

报告指出，AWS无法观察到凭证是如何被窃取的，但设备被入侵与针对服务的身份验证尝试之间存在时间差，这表明凭证的窃取方式是被动的，而非主动的。具体而言，报告指出，恶意攻击者通过攻击客户网络边缘设备，拦截传输中的凭证。

除了建议各组织审核网络设备以确保凭证未被泄露外，AWS 还鼓励网络安全团队分析日志，以识别任何凭证重用情况，并监控来自意外地理位置的身份验证尝试。

对于 AWS 客户而言，该云服务提供商再次提醒各组织实施身份访问管理 (IAM) 控制，以确保对云服务的访问安全。

目前尚不清楚俄罗斯黑客组织利用这种攻击途径的范围有多广，但考虑到配置错误的边缘计算设备和平台的数量，损害程度可能相当严重，尤其是在能源行业。该行业管理着关键基础设施，一旦发生敌对行动，这些基础设施很可能成为重点攻击目标。

摩西同时指出，世界其他地区的黑客组织也可能利用类似的底层机制来获取应用程序和服务的访问权限。俄罗斯尤其以偏爱低成本的IT环境入侵手段而闻名。

大多数组织都应该假定其IT环境已遭受此类或其他类似策略和技术的攻击。现在的挑战和机遇在于，首先要确定此类恶意活动的程度和范围，然后再采取必要的控制措施，防止此类事件再次发生。当然，世上没有绝对的安全，但同时，现代IT环境也不应该如此容易被攻破。

技术报告：

《俄罗斯网络威胁组织正以西方关键基础设施为目标》

https://aws.amazon.com/cn/blogs/security/amazon-threat-intelligence-identifies-russian-cyber-threat-group-targeting-western-critical-infrastructure/

新闻链接：

AWS Report Links Multi-Year Effort to Compromise Cloud Services to Russia

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

查看原文：《亚马逊报告将旨在破坏云服务的多年黑客行动与俄罗斯联系起来》