تستهدف جهات التهديد الروسية أجهزة حافة شبكة العملاء المستضافة على البنية التحتية لـ AWS. إليك ما يحتاج عملاء AWS إلى معرفته.
أكدت أمازون أن الهجمات الإلكترونية التي ترعاها الدولة الروسية استهدفت أجهزة حافة الشبكة التي تم تكوينها بشكل خاطئ والمستضافة على البنية التحتية لـ AWS خلال عام 2025 كجزء من حملة “تستمر لمدة عام”.
قالت وحدة استخبارات التهديدات في أمازون إن مجموعة التهديد الروسية المعروفة باسم Sandworm – المرتبطة بوكالة المخابرات العسكرية الروسية GRU – أمضت عام 2025 في استهداف أجهزة حافة الشبكة على AWS مع التركيز على قطاع الطاقة والشركات ذات البنية التحتية للشبكة المستضافة على السحابة.
قال سي جي موسيس، قائد الأمن في أمازون، في تقرير أمني حديث، إن المتسللين الروس يركزون هجماتهم على الأمن السيبراني على بيئات AWS، مستغلين “أجهزة حافة شبكة العملاء التي تم تكوينها بشكل خاطئ (والتي) أصبحت ناقل الوصول الأولي الأساسي”.
قال موسى، كبير مسؤولي أمن المعلومات في Amazon Integrated Security: “يتيح هذا التحسين الاستراتيجي تحقيق نتائج تشغيلية مماثلة، وجمع بيانات الاعتماد، والحركة الجانبية عبر الخدمات والبنية التحتية عبر الإنترنت الخاصة بالمنظمات المتضررة، مع تقليل مخاطر الجهات الفاعلة ونفقات الموارد”.
(ذات صلة: كيف تحصل أمازون على فوائد أمنية كبيرة من دخولها المكتب)
وقالت أمازون إن الهجمات لم تكن ناجمة عن ضعف في تقنية AWS، بل يبدو أنه تم تنفيذها من قبل عملاء قاموا بتكوين أجهزة Edge بشكل خاطئ.
وقال موسيس: “مع حلول عام 2026، يجب على المؤسسات إعطاء الأولوية لتأمين أجهزتها الطرفية للشبكة ومراقبة هجمات إعادة تشغيل بيانات الاعتماد للحماية من هذا التهديد المستمر”.
تدير شركة السحابة العملاقة ومقرها سياتل مئات من مراكز البيانات حول العالم التي تستضيف البنية التحتية الحيوية لقاعدة عملائها الكبيرة.
تمتلك AWS وGoogle وMicrosoft مجتمعة حاليًا أكثر من نصف إجمالي سعة مراكز البيانات واسعة النطاق على أساس عالمي.
واستمرت الهجمات الروسية لمدة خمس سنوات
كما سلط موسيس الضوء على كيفية تركيز قراصنة Sandworm الروس على مهاجمة البنية التحتية الحيوية، وخاصة قطاع الطاقة، من خلال عمليات الهجوم السيبراني من عام 2021 حتى الآن.
على سبيل المثال، في عامي 2021 و2022، شنت الهجمات الإلكترونية الروسية حملة حول استغلال WatchGuard، واستهدفت الأجهزة التي تم تكوينها بشكل خاطئ.
وفي عام 2024، قالت أمازون إن جهات التهديد الروسية استهدفت ثغرة VEM التي استهدفت باستمرار الأجهزة التي تم تكوينها بشكل خاطئ.
ثم في عام 2025، بدأت Sandworm في استهداف أجهزة حافة شبكة العملاء التي تم تكوينها بشكل خاطئ.
وقال موسيس: “إن استهداف الثمار المنخفضة لأجهزة العملاء التي يحتمل أن تكون قد تم تكوينها بشكل خاطئ مع واجهات الإدارة المكشوفة يخدم نفس الأهداف الإستراتيجية مثل الوصول المستمر إلى شبكات البنية التحتية الحيوية وجمع بيانات الاعتماد للوصول إلى الخدمات عبر الإنترنت للمؤسسات المتضررة”.
وقالوا: “يمثل التحول في الوتيرة التشغيلية لممثل التهديد تطورًا مثيرًا للقلق: في حين استمر استهداف التكوين الخاطئ للعملاء حتى عام 2022 على الأقل، واصل الممثل التركيز على هذا النشاط في عام 2025 مع تقليل الاستثمار في استغلال اليوم صفر واليوم”.
الأهداف الأساسية للقراصنة الروس والموارد المستهدفة
على مدى السنوات القليلة الماضية، استهدف المهاجمون الروس ثلاثة قطاعات رئيسية في الدول الغربية، بما في ذلك شركات قطاع الطاقة.
وكان الهدفان الآخران هما موفري البنية التحتية الحيوية في أمريكا الشمالية وأوروبا، بالإضافة إلى المؤسسات ذات البنية التحتية للشبكات المستضافة على السحابة.
وكانت بعض الموارد المستهدفة بشكل شائع هي أجهزة توجيه المؤسسات، ومكثفات VPN، وبوابات الوصول عن بعد، وأدوات إدارة الشبكة، وأنظمة إدارة المشاريع المستندة إلى السحابة.
لا يلزم تصحيح AWS
على الرغم من أن AWS أصدرت نتائجها بشأن المتسللين الذين ترعاهم الدولة الروسية، إلا أن أمازون أكدت أنه لا توجد عمليات استغلال يمكن لعملاء AWS تصحيحها.
قالت أمازون إنها أخطرت العملاء المتأثرين، ولكن لا يوجد تصحيح AWS لأن المتسللين يستخدمون الأجهزة التي تم تكوينها بشكل خاطئ كسلاح لصالح عملاء AWS.
وقال موسى: “لم يكن هذا بسبب ضعف في AWS، بل يبدو أن هذه الأجهزة تم تكوينها بشكل خاطئ من قبل العملاء”. “يُظهر تحليل اتصال الشبكة أن عناوين IP التي يتحكم فيها الممثل تعمل باستمرار على إنشاء اتصالات بمثيلات EC2 المخترقة التي تقوم بتشغيل برامج أجهزة الشبكة الخاصة بالعملاء.”
وقال موسى إنه منذ اكتشاف نشاط Sandworm، قامت أمازون بتعطيل عمليات ممثل التهديد النشط وقللت من سطح الهجوم المتاح لهذه المجموعة الفرعية لنشاط التهديد.
وأضاف: “سنواصل العمل مع المجتمع الأمني لتبادل المعلومات الاستخباراتية والدفاع بشكل جماعي ضد التهديدات التي ترعاها الدولة والتي تستهدف البنية التحتية الحيوية”.
