El equipo de inteligencia de amenazas de Amazon ha revelado detalles de una campaña patrocinada por el estado ruso de “abriles de duración” que tuvo como objetivo la infraestructura crítica occidental entre 2021 y 2025.
Los objetivos de la campaña incluyeron organizaciones del sector energético de los países occidentales, proveedores de infraestructura crítica en América del Septentrión y Europa y entidades con infraestructura de red alojada en la cúmulo. La actividad se ha atribuido con gran confianza a la Dirección Principal de Inteligencia de Rusia (GRU), citando superposiciones de infraestructura con APT44, que además se conoce como FROZENBARENTS, Sandworm, Seashell Blizzard y Voodoo Bear.
La actividad se destaca por utilizar como vectores de camino auténtico dispositivos de borde de red de clientes mal configurados con interfaces de agencia expuestas, ya que la actividad de explotación de vulnerabilidades de día N y día cero disminuyó durante el período, lo que indica un cambio en los ataques dirigidos a infraestructura crítica, dijo el gigantesco tecnológico.
“Esta acondicionamiento táctica permite los mismos resultados operativos, monasterio de credenciales y movimiento adyacente con destino a la infraestructura y los servicios en tangente de las organizaciones víctimas, al tiempo que reduce la exposición del actor y el pago de capital”, dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security.
Se ha descubierto que los ataques aprovechan las siguientes vulnerabilidades y tácticas a lo grande de cinco abriles:
- 2021-2022: Explotación de la defecto WatchGuard Firebox y XTM (CVE-2022-26318) y ataque a dispositivos de red perimetrales mal configurados
- 2022-2023: Explotación de fallas de Atlassian Confluence (CVE-2021-26084 y CVE-2023-22518) y ataque continuo a dispositivos de red de borde mal configurados
- 2024: Explotación de la defecto de Veeam (CVE-2023-27532) y ataque continuo a dispositivos de red perimetrales mal configurados
- 2025: ataque sostenido a dispositivos de red perimetrales mal configurados
La actividad de intrusión, según Amazon, destacó enrutadores empresariales e infraestructura de enrutamiento, concentradores VPN y puertas de enlace de camino remoto, dispositivos de agencia de redes, plataformas wiki y de colaboración, y sistemas de mandato de proyectos basados en la cúmulo.
Es probable que estos esfuerzos estén diseñados para allanar la monasterio de credenciales a escalera, dada la capacidad del actor de la amenaza para posicionarse estratégicamente en el borde de la red para interceptar información confidencial en tránsito. Los datos de telemetría además han descubierto lo que se ha descrito como intentos coordinados dirigidos a dispositivos de borde de red de clientes mal configurados alojados en la infraestructura de Amazon Web Services (AWS).
“El prospección de la conexión de red muestra direcciones IP controladas por actores que establecen conexiones persistentes a instancias EC2 comprometidas que operan el software de dispositivos de red de los clientes”, dijo Moses. “El prospección reveló conexiones persistentes consistentes con el camino interactivo y la recuperación de datos en múltiples instancias afectadas”.
Encima, Amazon dijo que observó ataques de reproducción de credenciales contra los servicios en tangente de las organizaciones víctimas como parte de los intentos de obtener un punto de apoyo más profundo en las redes específicas. Aunque se considera que estos intentos no tuvieron éxito, dan peso a la hipótesis ayer mencionada de que el adversario está obteniendo credenciales de la infraestructura de red del cliente comprometida para realizar ataques posteriores.
Todo el ataque se desarrolla de la subsiguiente modo:
- Comprometer el dispositivo de borde de red del cliente alojado en AWS
- Aproveche la capacidad de captura de paquetes nativa
- Reúna credenciales del tráfico interceptado
- Reproducir credenciales contra la infraestructura y los servicios en tangente de las organizaciones víctimas
- Establecer un camino persistente para el movimiento adyacente.
Las operaciones de reproducción de credenciales se han dirigido a proveedores de servicios de energía, tecnología/cúmulo y servicios de telecomunicaciones en América del Septentrión, Europa occidental y uruguayo y Oriente Medio.
“El objetivo demuestra un enfoque sostenido en la cautiverio de suministro del sector energético, incluidos operadores directos y proveedores de servicios externos con camino a redes de infraestructura críticas”, señaló Moses.
Curiosamente, el conjunto de intrusión además comparte superposiciones de infraestructura (91.99.25(.)54) con otro clúster rastreado por Bitdefender bajo el nombre Curly COMrades, que se cree que opera con intereses alineados con Rusia desde finales de 2023. Esto ha planteado la posibilidad de que los dos clústeres puedan representar operaciones complementarias interiormente de una campaña más amplia emprendida por GRU.
“Esta posible división operativa, donde un especie se centra en el camino a la red y el compromiso auténtico mientras que otro maneja la persistencia y la esparcimiento basada en el host, se alinea con los patrones operativos de GRU de subgrupos especializados que respaldan objetivos de campaña más amplios”, dijo Moses.
Amazon dijo que identificó y notificó a los clientes afectados, así como además interrumpió las operaciones activas de los actores de amenazas dirigidas a sus servicios en la cúmulo. Se recomienda a las organizaciones auditar todos los dispositivos de borde de red para detectar utilidades de captura de paquetes inesperadas, implementar una autenticación sólida, monitorear intentos de autenticación desde ubicaciones geográficas inesperadas y controlar los ataques de reproducción de credenciales.
