Amazon ujawnia szczegóły rosyjskiej kampanii cybernetycznej wymierzonej w infrastrukturę krytyczną

Zespół wywiadu zagrożeń Amazon ujawnili szczegóły dotyczące rosyjskiej kampanii sponsorowanej przez państwo, która miała miejsce przez kilka lat, między 2021 a 2025 rokiem. Ataki skupiały się na zachodnich organizacjach sektora energetycznego oraz dostawcach infrastruktury krytycznej w Ameryce Północnej i Europie, a także na podmiotach korzystających z chmurowej infrastruktury sieciowej.

Całą działalność przypisano z wysokim stopniem pewności grupie APT44, znanej także jako FROZENBARENTS, Sandworm, Seashell Blizzard i Voodoo Bear. Amazon zaznacza, że metoda ataków uległa zmianie – zamiast wykorzystywania luk, atakujące grupy zaczęły korzystać z błędnie skonfigurowanych urządzeń sieciowych, które miały wystawione interfejsy zarządzające.

„Ta taktyczna adaptacja umożliwia osiąganie tych samych celów operacyjnych, takich jak zbieranie danych uwierzytelniających i lateralny ruch w stronę online’owych usług ofiar, jednocześnie zmniejszając narażenie sprawcy i wydatki związane z operacjami” – powiedział CJ Moses, dyrektor ds. bezpieczeństwa informacji w Amazon Integrated Security.

Wykorzystywane luki i taktyki

W ciągu pięciu lat działalności, ataki skupiły się na poniższych lukach i taktykach:

• 2021-2022: Wykorzystanie luki w WatchGuard Firebox i XTM (CVE-2022-26318) oraz atakowanie błędnie skonfigurowanych urządzeń brzegowych sieci.
• 2022-2023: Wykorzystanie luk w Atlassian Confluence (CVE-2021-26084 i CVE-2023-22518) oraz dalsze atakowanie błędnie skonfigurowanych urządzeń brzegowych sieci.
• 2024: Wykorzystanie luki w Veeam (CVE-2023-27532) oraz dalsze atakowanie błędnie skonfigurowanych urządzeń brzegowych sieci.
• 2025: Utrzymujące się ataki na błędnie skonfigurowane urządzenia brzegowe sieci.

Amazon zaznacza, że ataki koncentrowały się na routerach przedsiębiorstw, infrastrukturze routującej, koncentratorach VPN oraz zdalnych bramach dostępowych. Niektóre z działań mogły być ukierunkowane na masowe zbieranie danych uwierzytelniających, jako że sprawcy podchodzili strategicznie do węzłów sieci, by przechwytywać poufne informacje w tranzycie.

Analiza połączeń i ataki powtórzeniowe

Dane telemetryczne ujawniają skoordynowane próby ataków na błędnie skonfigurowane urządzenia brzegowe klientów w infrastrukturze Amazon Web Services (AWS). „Analiza połączeń sieciowych pokazuje, że adresy IP kontrolowane przez sprawców nawiązywały stałe połączenia do skompromitowanych instancji EC2 działających z oprogramowaniem urządzeń sieciowych klientów” – dodał Moses.

W dodatku Amazon zauważył ataki tego samego typu, mające na celu uzyskanie głębszego dostępu do sieci ofiar. Mimo że te próby okazały się nieskuteczne, wskazują na fakt, że przeciwnik zyskuje dostęp do danych uwierzytelniających z zainfekowanej infrastruktury sieciowej klientów dla przyszłych ataków.

Schemat ataków

Cały proces ataku wygląda następująco:

1. Komprytacja urządzenia brzegowego klienta hostowanego na AWS.
2. Wykorzystanie natywnej funkcjonalności przechwytywania pakietów.
3. Zbieranie danych uwierzytelniających z przechwyconego ruchu.
4. Powtórzenie danych uwierzytelniających w usługach online ofiarnych organizacji.
5. Ustalenie stałego dostępu dla lateralnego ruchu.

Operacje związane z powtórzeniem uwierzytelnień dotyczyły sektora energetycznego, usług technologicznych/chmurowych oraz dostawców telekomunikacyjnych w Ameryce Północnej, Europie Zachodniej i Wschodniej oraz na Bliskim Wschodzie.

„Skoncentrowanie działań na łańcuchu dostaw sektora energetycznego, w tym zarówno bezpośrednich operatorach, jak i dostawcach usług zewnętrznych mających dostęp do sieci krytycznej”, zauważył Moses.

Co ciekawe, zestaw intruzji wykazuje również pokrywanie infrastruktur z innym klastrem monitorowanym przez Bitdefender pod nazwą Curly COMrades, który prawdopodobnie działa w interesie Rosji od końca 2023 roku. To rodzi możliwość, że oba klastry mogą reprezentować komplementarne operacje w ramach szerszej kampanii prowadzonej przez GRU.

„To potencjalne podział operacyjny, w którym jeden klaster skoncentrowany jest na dostępie do sieci i początkowej kompromitacji, a drugi zajmuje się stałą obecnością i unikaniem wykrycia, jest zgodne z wzorcem operacyjnym GRU polegającym na specyficznych subklastrach wspierających szersze cele kampanii” – powiedział Moses.

Na zakończenie Amazon ogłosił, że zidentyfikował i powiadomił o zagrożeniu swoich klientów, a także zakłócił działanie przeciwników, którzy atakowali jego usługi chmurowe. Organizacje są zalecane do audytowania wszystkich urządzeń brzegowych sieci w poszukiwaniu niespodziewanych narzędzi do przechwytywania pakietów, wdrażania silnego uwierzytelniania, monitorowania prób uwierzytelniania z niespodziewanych lokalizacji geograficznych oraz zwracania uwagi na ataki powtórzeniowe danych uwierzytelniających.