Le géant Amazon a décidé de faire la lumière sur une vaste opération d'espionnage russe, portée par le groupe Sandworm, qui cible les infrastructures critiques occidentales depuis 2021.
Ce n'est pas tous les jours qu'Amazon sort du bois pour pointer du doigt une menace cybernétique. Cette semaine, la branche cloud du mastodonte de la vente en ligne (Amazon Web Services) a publié une longue note sur les quatre années d'activités sournoises menées par des hackers russes contre des infrastructures critiques occidentales. L'équipe de sécurité d'AWS attribue avec une forte certitude cette campagne au groupe Sandworm, affilié au renseignement russe. Les experts reviennent notamment sur le changement de braquet tactique de ce collectif, à savoir moins de vulnérabilités sophistiquées, et davantage de portes laissées ouvertes par négligence.
Sandworm adapte sa stratégie de cyberattaque avec le temps
Sandworm, voilà un nom loin d'être inconnu dans le monde de la cybersécurité, surtout pour l'Ukraine et ses alliés, dont la France. Cette unité d'élite du GRU, le renseignement militaire russe, est connue pour ses opérations sophistiquées d'interception de trafic réseau et ses capacités offensives. Amazon Threat Intelligence les traque depuis 2021. Entre 2021 et 2023, le groupe déployait son arsenal habituel, fait d'exploitation de failles WatchGuard (CVE-2022-26318), Confluence ou encore Veeam. Des opérations techniques pointues qui demandent temps, argent et expertise.
2025 fut l'année du tournant. Les attaques sophistiquées se sont effondrées au profit d'une stratégie bien plus pragmatique, qui consiste à cibler des équipements réseau hébergés sur AWS et laissés accessibles depuis Internet. Pas de faille logicielle à dénicher, juste des routeurs d'entreprise, des concentrateurs VPN ou des appliances de gestion réseau protégés par des configurations par défaut ou des mots de passe faibles. C'est un peu l'équivalent numérique d'une porte d'entrée avec un paillasson « clé sous le pot ».
Cette bascule a permis de réduire drastiquement les risques opérationnels pour les attaquants. Moins d'exposition, moins de traces, moins de ressources mobilisées. Et surtout, un résultat identique, c'est-à-dire un accès persistant aux réseaux des entreprises énergétiques nord-américaines et européennes. Le pragmatisme russe à l'état pur.
La capture de paquets permet de voler des identifiants sans être détecté
La mécanique mise en place par Sandworm est remarquable. Une fois un équipement réseau compromis, les hackers activent des fonctionnalités natives de capture de paquets. Comprenez qu'ils enregistrent tout ce qui transite par la machine. Quand un employé se connecte à un service en ligne sans chiffrement suffisant, ses identifiants sont aspirés. Il n'y a pas de malware détectable ni d'alerte déclenchée. Juste une écoute silencieuse du trafic réseau.
Le plus inquiétant, c'est sans doute le timing. Amazon observe un décalage entre la compromission initiale et les tentatives de connexion frauduleuses. Les informations d'identification récoltées ne sont pas utilisées immédiatement. Elles sont stockées, analysées, puis réemployées des semaines plus tard contre les plateformes collaboratives, des dépôts de code ou les systèmes cloud des victimes. Une patience qui déroute les équipes de sécurité habituées à des attaques immédiates.
Amazon ne s'est pas contenté d'observer. L'acteur américain a notifié ses clients concernés, désactivé les ressources compromises et partagé ses découvertes avec les fabricants d'équipements réseau et les partenaires de l'industrie. Une réponse coordonnée qui a permis de réduire la surface d'attaque disponible pour ce sous-groupe de Sandworm. Mais la menace demeure. Tant que des entreprises laisseront des équipements critiques exposés avec des configurations bancales, les hackers du GRU auront de beaux jours devant eux.
