هجمات سيبرانية روسية استهدفت مستخدمي أمازون السحابية لسنوات
أعلنت شركة أمازون عن نتائج تحليل أمني موسع كشف عن تعرض مستخدمي بنيتها السحابية في الدول الغربية لهجمات سيبرانية منظمة استمرت بشكل متواصل لما يقارب خمس سنوات كاملة.
وأوضح فريق استخبارات التهديدات التابع للشركة أن هذه الأنشطة العدائية لم تكن عشوائية بل جاءت ضمن حملة رقمية طويلة الأمد استهدفت عملاء يستخدمون خدمات أمازون ويب سيرفيسز.
وبحسب التحليل الأمني فإن مصدر هذه الهجمات يعود إلى مجموعة قرصنة معروفة دوليا تحمل اسم ساندوورم وترتبط بشكل مباشر بجهاز الاستخبارات العسكرية الروسي وفقا للتقارير التقنية.
وأكدت أمازون أن هذا التهديد تطور تدريجيا على مدار سنوات مع اعتماد المهاجمين على أساليب أكثر تعقيدا وتخطيطا مقارنة بمحاولات الاختراق التقليدية قصيرة الأجل.
كما أشار مسؤولو الأمن في الشركة إلى رصد تهديدات إضافية واسعة النطاق من جهات كورية شمالية استهدفت عددا كبيرا من الأنظمة السحابية التابعة لعملاء حول العالم.
وتعتبر منصة أمازون ويب سيرفيسز الذراع السحابية الرئيسية للشركة حيث توفر خدمات الحوسبة والتخزين والاستضافة الرقمية لملايين المؤسسات والهيئات الحكومية والخاصة عالميا.
وفي تقرير نشر منتصف ديسمبر أوضح كبير مسؤولي أمن المعلومات في أمازون أن الهجمات المدعومة من دول تشكل تحولا خطيرا في استهداف البنية التحتية الحيوية الغربية.
وأضاف أن خطورة هذه الهجمات لا تكمن فقط في مدتها الطويلة بل في قدرتها على التسلل الهادئ دون إثارة إنذارات أمنية واضحة لفترات زمنية ممتدة.
وأشار التقرير إلى أن المهاجمين لم يعتمدوا بالدرجة الأولى على استغلال ثغرات تقنية مباشرة داخل أنظمة أمازون السحابية نفسها كما قد يعتقد البعض.
بل شهدت الهجمات تحولا تكتيكيا واضحا حيث أصبحت أجهزة أطراف الشبكة لدى العملاء والتي كانت مهيأة بشكل خاطئ هي نقطة الدخول الرئيسية للمخترقين.
وأوضح المسؤول الأمني أن العديد من الشركات ركزت على تحديث الأنظمة الأساسية لكنها أغفلت تأمين إعدادات الأجهزة الطرفية المتصلة بالشبكات السحابية.
وشبه هذا الوضع بوضع أنظمة حماية قوية على الأبواب الرئيسية للمباني مع ترك نوافذ جانبية مفتوحة تسهل الوصول غير المصرح به دون عناء.
وأكدت أمازون أن هذه الحملة السيبرانية لم تكن نتيجة خلل أمني داخل خدمات أمازون ويب سيرفيسز نفسها أو ضعف في بنيتها التحتية السحابية.
بل يعود السبب الأساسي إلى أجهزة العملاء المستضافة على المنصة والتي لم يتم ضبط إعداداتها الأمنية بالشكل الصحيح أو وفق أفضل الممارسات المعتمدة.
وأوضحت الشركة أن سوء التهيئة هذا ساعد المهاجمين على الحفاظ على وجودهم داخل الشبكات المستهدفة لفترات طويلة دون اكتشاف مبكر.
وأضافت أمازون أنها قامت بإخطار جميع العملاء المتأثرين بهذه الأنشطة لاتخاذ الإجراءات التصحيحية اللازمة وتعزيز مستوى الحماية الداخلية لديهم.
وبحسب التحليل الأمني فإن الحملة ركزت بشكل خاص على مؤسسات قطاع الطاقة والبنية التحتية الحيوية في الدول الغربية بشكل متكرر.
كما شملت الهجمات مزودي خدمات أساسية في أميركا الشمالية وأوروبا إضافة إلى مؤسسات تعتمد بشكل كبير على الشبكات السحابية لإدارة عملياتها اليومية.
وأشار التقرير إلى أن هذه الأنشطة العدائية امتدت زمنيا من عام 2021 وحتى الوقت الحالي مما يعكس استمرارية التهديد وعدم توقفه.
وأكدت أمازون أن اختيار هذه القطاعات الحساسة يعكس اهتمام المهاجمين بإحداث تأثير واسع النطاق على الأنظمة الاقتصادية والخدمية الحيوية.
ومع اقتراب بداية العام الجديد دعت الشركة عملاءها إلى فحص أجهزة الشبكات الخاصة بهم بشكل دوري وعدم الاكتفاء بالإعدادات الافتراضية.
كما حثت على مراقبة الأنظمة باستمرار وتحديث سياسات الأمان والتعامل بجدية مع أي إشارات غير طبيعية قد تدل على نشاط سيبراني مستمر.
وشددت أمازون على أن اليقظة الدائمة والاستعداد المبكر يمثلان خط الدفاع الأول في مواجهة الهجمات الرقمية التي ما زالت تشكل تهديدا قائما.
