Представьте: хакер приходит за «нулевым днём», а уходит с… открытой админкой на роутере — потому что зачем усложнять, если можно просто нажать на «вход»? Примерно так выглядит эволюция одной заметной кампании, которую команда Amazon Threat Intelligence помогла сорвать, связав активность с хакерами, работающими в интересах российской военной разведки (ГРУ).

По наблюдениям Amazon, кампания тянется как минимум с 2021 года и прицельно смотрит на западную критическую инфраструктуру, особенно на энергетику. Речь не о «шуме ради шума»: цель прагматичная — закрепиться в сети жертвы, собрать учетные данные и двигаться дальше максимально тихо и дешево.

До 2024 года, по словам CISO Amazon Integrated Security СиДжея Моузеса, злоумышленники активно использовали уязвимости как входной билет. В списке фигурировали WatchGuard, Confluence и Veeam — то есть как известные баги, так и более редкие и дорогие в разработке варианты. Параллельно атакующие не брезговали и другой классикой: искать неправильно настроенные устройства на периметре.

А вот в 2025 году заметен поворот руля: меньше инвестиций в «эксплойт-арт», больше охоты за misconfiguration. В ход шли enterprise-роутеры, VPN-шлюзы, апплаиансы для управления сетью, коллаборационные платформы и облачные инструменты управления проектами — особенно там, где наружу торчали интерфейсы управления. Это и есть те самые «низко висящие плоды»: открыто, доступно, а эффект тот же — постоянный доступ и кража учетных данных.

Amazon также отмечает признаки того, что учетные данные могли собираться не только «в лоб», но и через перехват трафика: на это указывают задержки между компрометацией устройства и последующим использованием украденных логинов, а также «чужая» активность под легитимными учетками. При этом важно: речь шла о клиентских управляемых сетевых устройствах, размещенных на AWS EC2, а не об эксплуатации уязвимостей в сервисах AWS.

После обнаружения активности Amazon оперативно защитил затронутые EC2-инстансы, уведомил клиентов и поделился разведданными с вендорами и партнерами, заявив о снижении доступной атакующей поверхности. В отчете приведены IP-адреса, но компания предупреждает: не стоит бездумно их блокировать — это могут быть легитимные серверы, ранее скомпрометированные и использованные как прокси.

Практический вывод прост: в 2025 году «самая опасная уязвимость» нередко называется непатченая конфигурация. Amazon рекомендует заранее сделать скучное, но спасительное: аудит edge-устройств, мониторинг credential replay, контроль доступа к админ-порталам. В AWS-среде — изолировать management-интерфейсы, ужесточить security groups, и включить телеметрию: CloudTrail, GuardDuty и VPC Flow Logs. Скучно? Да. Зато потом не придется узнавать о своей сети из чужого отчета.