Amazon indique avoir contrecarré une cyberattaque provenant de la Russie. Depuis 2021, des hackers russes se sont en effet infiltrés dans des infrastructures critiques en Occident, allant de l’énergie aux télécoms.
Amazon a mis en lumière une cyberattaque en provenance de la Russie. Depuis 2021, un gang de pirates russes s’attaque en effet à l’infrastructure de plusieurs clients d’Amazon Web Services (AWS), la filiale d’Amazon spécialisée dans le cloud. Mandatés par le GRU, le service de renseignement militaire extérieur de la Russie, les cybercriminels visent surtout les infrastructures critiques occidentales, notamment dans le secteur de l’énergie et des télécommunications. Cette campagne est « menée depuis plusieurs années par l’État russe », affirme le rapport d’Amazon. La Russie est connue pour multiplier les opérations d’espionnage visant l’Occident, en particulier depuis l’invasion de l’Ukraine.
À lire aussi : Amazon alerte ses clients – les arnaques explosent à l’approche de Noël
Failles de sécurité et négligences
Aux origines, les offensives reposaient sur l’exploitation de vulnérabilités, y compris des failles de type zero‑day et des brèches déjà connues, mais non colmatées sur le système. Des produits comme WatchGuard, Confluence ou Veeam ont été utilisés comme porte d’entrée sur les systèmes, indique Amazon. Le groupe américain précise bien que les cyberattaques ne découlent pas
Un an après le début des hostilités, les cybercriminels se sont mis à profiter de négligences de sécurité sur le réseau des victimes. Les pirates russes ont concentré leurs efforts sur des équipements mal configurés, comme les dispositifs protégés par des mots de passe faibles, des interfaces d’admin exposées sur Internet, ou encore des appareils obsolètes. Par le biais des négligences identifiées, les hackers ont pu « atteindre les mêmes objectifs stratégiques », à savoir « l’accès persistant aux réseaux d’infrastructures critiques et la collecte d’identifiants pour accéder aux services en ligne des organisations victimes ». De cette manière, les organisations se retrouvaient compromises.
À lire aussi : Panne mondiale d’Amazon – un botnet a profité du chaos pour lancer des cyberattaques
Amazon contre-attaque et bloque les pirates russes
Dès qu’Amazon a découvert la cyberattaque, des mesures fortes ont été prises. Les instances AWS compromises ont été sécurisées, tandis que les équipements piratés ont été isolés du reste du réseau. Amazon a aussi partagé des informations techniques, comme les adresses IP malveillantes des pirates russes, avec d’autres fournisseurs cloud.
Amazon a donné la liste des adresses IP utilisées par les pirates, mais il a demandé aux entreprises de ne pas les bloquer automatiquement. Ces IP appartiennent à des serveurs légitimes qui ont été piratés en amont de l’offensive. Avant d’agir et de bloquer à tout va, il vaut mieux s’assurer que les serveurs sont toujours sous le contrôle des cybercriminels et prévenir les victimes. Ces « efforts coordonnés » ont permis de perturber « les opérations actives des acteurs malveillants » et de réduire la surface d’attaque. À l’aube « de 2026, les organisations doivent impérativement sécuriser leurs équipements périphériques ».
Ce n’est pas la première fois de l’année qu’Amazon déjoue une offensive russe. En septembre, Amazon a déjà bloqué une armée de serveurs utilisés par le groupe russe Midnight Blizzard pour piéger des cibles européennes.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.