Η ομάδα της Amazon Threat Intelligence διέκοψε τις ενεργές επιχειρήσεις που αποδίδονται σε χάκερ που εργάζονταν για τη ρωσική ξένη στρατιωτική υπηρεσία πληροφοριών, την GRU, οι οποίοι στόχευαν την υποδομή cloud των πελατών.
Ο πάροχος υπηρεσιών cloud παρατήρησε εστίαση στη δυτική υποδομή ζωτικής σημασίας, ειδικά στον ενεργειακό τομέα, στη δραστηριότητα που ξεκίνησε το 2021.
Με την πάροδο του χρόνου, ο παράγοντας απειλών στράφηκε από την εκμετάλλευση τρωτών σημείων (μηδενικών ημερών και γνωστών) στη μόχλευση εσφαλμένων διαμορφωμένων συσκευών άκρων για αρχική πρόσβαση.
Λιγότερα τρωτά σημεία εκμετάλλευσης
Ο CJ Moses, ο CISO της Amazon Integrated Security, σημειώνει ότι μέχρι το 2024, η καμπάνια “χρόνων” εκμεταλλευόταν πολλαπλές ευπάθειες στο WatchGuard, το Confluence και το Veeam ως τον κύριο φορέα αρχικής πρόσβασης και στόχευε συσκευές με εσφαλμένη διαμόρφωση.
Φέτος, ωστόσο, ο παράγοντας απειλών βασίστηκε λιγότερο σε ευπάθειες και περισσότερο στη στόχευση συσκευών αιχμής δικτύου πελατών με εσφαλμένη διαμόρφωση, όπως εταιρικούς δρομολογητές, πύλες VPN, συσκευές διαχείρισης δικτύου, πλατφόρμες συνεργασίας και λύσεις διαχείρισης έργων που βασίζονται σε cloud.
“Η στόχευση των “χαμηλών φρούτων” πιθανών εσφαλμένων διαμορφωμένων συσκευών πελατών με εκτεθειμένες διεπαφές διαχείρισης επιτυγχάνει τους ίδιους στρατηγικούς στόχους, που είναι η επίμονη πρόσβαση σε δίκτυα υποδομής ζωτικής σημασίας και η συλλογή διαπιστευτηρίων για την πρόσβαση στις διαδικτυακές υπηρεσίες οργανώσεων-θυμάτων.” εξηγεί ο Μωυσής.
“Η αλλαγή του λειτουργικού ρυθμού του παράγοντα απειλής αντιπροσωπεύει μια ανησυχητική εξέλιξη: ενώ η στόχευση εσφαλμένης διαμόρφωσης πελατών συνεχίζεται τουλάχιστον από το 2022, ο παράγοντας διατήρησε σταθερή εστίαση σε αυτή τη δραστηριότητα το 2025, ενώ μείωσε τις επενδύσεις σε μηδενική και N-day εκμετάλλευση”, πρόσθεσε.
Ωστόσο, η τακτική εξέλιξη δεν αντανακλά καμία αλλαγή στους επιχειρησιακούς στόχους της ομάδας: κλοπή διαπιστευτηρίων και πλευρική κίνηση στο δίκτυο των θυμάτων με όσο το δυνατόν λιγότερη έκθεση και όσο το δυνατόν λιγότερους πόρους.
Με βάση τα μοτίβα στόχευσης και τις επικαλύψεις στην υποδομή που παρατηρήθηκαν σε επιθέσεις από Sandworm (APT44, Seashell Blizzard) και Curly COMrades, η Amazon αξιολογεί με μεγάλη σιγουριά ότι οι επιθέσεις που παρατηρήθηκαν πραγματοποιήθηκαν από χάκερ που εργάζονται για τη ρωσική GRU.
Η Amazon πιστεύει ότι οι χάκερ Curly COMRades, που αναφέρθηκαν για πρώτη φορά από το Bitdefender, ενδέχεται να αναλάβουν δραστηριότητα μετά τον συμβιβασμό σε μια ευρύτερη καμπάνια GRU που περιλαμβάνει πολλαπλά εξειδικευμένα υποσυστήματα.
Διάδοση στο δίκτυο
Αν και η Amazon δεν παρατήρησε άμεσα τον μηχανισμό εξαγωγής, στοιχεία με τη μορφή καθυστερήσεων μεταξύ παραβίασης της συσκευής και μόχλευσης των διαπιστευτηρίων και κατάχρησης των διαπιστευτηρίων του οργανισμού, υποδηλώνουν παθητική σύλληψη πακέτων και υποκλοπή κυκλοφορίας.
Οι παραβιασμένες συσκευές ήταν συσκευές δικτύου που διαχειριζόταν ο πελάτης που φιλοξενούνταν σε περιπτώσεις AWS EC2 και η Amazon σημείωσε ότι οι επιθέσεις δεν μόχλευαν ελαττώματα στην ίδια την υπηρεσία AWS.
Αφού ανακάλυψε τις επιθέσεις, η Amazon έλαβε άμεσα μέτρα για την προστασία των παραβιασμένων περιπτώσεων EC2 και ειδοποίησε τους επηρεαζόμενους πελάτες για την παραβίαση. Επιπλέον, μοιράστηκαν πληροφορίες με επηρεασμένους προμηθευτές και συνεργάτες του κλάδου.
«Μέσω συντονισμένων προσπαθειών, από την ανακάλυψη αυτής της δραστηριότητας, έχουμε διακόψει τις λειτουργίες ενεργού παράγοντα απειλής και μειώσαμε την επιφάνεια επίθεσης που είναι διαθέσιμη σε αυτό το υποσύστημα δραστηριότητας απειλής», δήλωσε η Amazon.
Η Amazon μοιράστηκε τις προσβλητικές διευθύνσεις IP στην έκθεσή της, αλλά προειδοποίησε να μην τις αποκλείει χωρίς προηγουμένως να διεξαγάγει έρευνα συμφραζομένων, επειδή πρόκειται για νόμιμους διακομιστές που ο παράγοντας απειλής παραβίασε για να διαμεσολαβήσει την κυκλοφορία της.
Η εταιρεία συνέστησε περαιτέρω μια σειρά «μέτρων άμεσης προτεραιότητας» για το επόμενο έτος, όπως έλεγχος συσκευών δικτύου, παρακολούθηση δραστηριότητας επανάληψης διαπιστευτηρίων και παρακολούθηση πρόσβασης σε πύλες διαχείρισης.
Ειδικά σε περιβάλλοντα AWS, συνιστάται η απομόνωση διεπαφών διαχείρισης, ο περιορισμός των ομάδων ασφαλείας και η ενεργοποίηση των αρχείων καταγραφής ροής CloudTrail, GuardDuty και VPC.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
