Μια ομάδα hacking που χρηματοδοτείται από το ρωσικό κράτος στοχεύει συσκευές αιχμής δικτύου στη Δυτική κρίσιμη υποδομή από το 2021, με τις επιχειρήσεις να εντείνονται καθ’ όλη τη διάρκεια του 2025.
Η εκστρατεία, που συνδέεται με την Κύρια Διεύθυνση Πληροφοριών της Ρωσίας (GRU) και τη διαβόητη ομάδα Sandworm, αντιπροσωπεύει μια σημαντική αλλαγή στην τακτική.
Αντί να εστιάζουν στην εκμετάλλευση των τρωτών σημείων zero-day, οι χάκερ στοχεύουν τώρα συσκευές δικτύου πελατών με εσφαλμένες ρυθμίσεις παραμέτρων με εκτεθειμένες διεπαφές διαχείρισης.
Αυτή η προσέγγιση αποφέρει τα ίδια αποτελέσματα – επίμονη πρόσβαση και κλοπή διαπιστευτηρίων – ενώ καθιστά τον εντοπισμό πολύ πιο δύσκολο.
Οι επιτιθέμενοι επικεντρώνονται ειδικά σε οργανισμούς του ενεργειακού τομέα σε ολόκληρη τη Βόρεια Αμερική και την Ευρώπη, μαζί με παρόχους υποδομών ζωτικής σημασίας.
Διακυβεύουν εταιρικούς δρομολογητές, πύλες VPN και συσκευές διαχείρισης δικτύου που φιλοξενούνται σε πλατφόρμες cloud.
Στοχεύοντας αυτές τις συσκευές, οι χάκερ τοποθετούνται για να υποκλέψουν τα διαπιστευτήρια των χρηστών που μεταδίδονται μέσω της κυκλοφορίας του δικτύου, τα οποία στη συνέχεια χρησιμοποιούν για να αποκτήσουν πρόσβαση στις διαδικτυακές υπηρεσίες και τα εσωτερικά συστήματα των οργανισμών-θυμάτων.
αναλυτές της AWS αναγνωρισθείς αυτή την εκστρατεία μέσω της τηλεμετρίας πληροφοριών απειλών, παρατηρώντας συντονισμένες επιθέσεις εναντίον συσκευών αιχμής δικτύου πελατών που φιλοξενούνται στις Υπηρεσίες Ιστού της Amazon.
Οι συμβιβασμοί δεν προέκυψαν λόγω ελαττωμάτων ασφαλείας του AWS, αλλά λόγω εσφαλμένων διαμορφώσεων πελατών που άφησαν τις διεπαφές διαχείρισης εκτεθειμένες στο διαδίκτυο.
Η ανάλυση δικτύου αποκάλυψε επίμονες συνδέσεις από διευθύνσεις IP ελεγχόμενες από τους εισβολείς σε παραβιασμένες περιπτώσεις EC2 που εκτελούν λογισμικό δικτυακών συσκευών, υποδεικνύοντας διαδραστική πρόσβαση και συνεχή συλλογή δεδομένων.
Το χρονοδιάγραμμα της καμπάνιας δείχνει μια σαφή εξέλιξη. Μεταξύ 2021 και 2022, οι επιτιθέμενοι εκμεταλλεύτηκαν συσκευές WatchGuard χρησιμοποιώντας CVE-2022-26318. Το 2022-2023, στόχευσαν τις πλατφόρμες Confluence μέσω των CVE-2021-26084 και CVE-2023-22518.
Μέχρι το 2024, η εκμετάλλευση του Veeam μέσω CVE-2023-27532 είχε γίνει διαδεδομένη. Καθ’ όλη τη διάρκεια του 2025, οι χάκερ διατήρησαν σταθερή εστίαση σε συσκευές με εσφαλμένη διαμόρφωση, ενώ μείωσαν την επένδυσή τους στην εκμετάλλευση ευπάθειας, επιδεικνύοντας μια στρατηγική στροφή προς ευκολότερους στόχους.
Λειτουργίες συλλογής διαπιστευτηρίων και επανάληψης
Οι εισβολείς χρησιμοποιούν δυνατότητες καταγραφής πακέτων για να συλλέξουν διαπιστευτήρια από παραβιασμένες συσκευές δικτύου.
Μόλις αποκτήσουν πρόσβαση σε μια συσκευή αιχμής δικτύου, παρεμποδίζουν την κυκλοφορία ελέγχου ταυτότητας που διέρχεται από αυτήν.
Το χρονικό διάστημα μεταξύ του παραβίασης της συσκευής και των προσπαθειών επανάληψης διαπιστευτηρίων υποδηλώνει παθητική συλλογή αντί για ενεργή κλοπή.
Οι χάκερ συλλαμβάνουν διαπιστευτήρια οργάνωσης θυμάτων —όχι μόνο κωδικούς πρόσβασης συσκευών— καθώς οι χρήστες ελέγχουν την ταυτότητα σε διάφορες υπηρεσίες μέσω της παραβιασμένης υποδομής.
Αφού συλλέξουν τα διαπιστευτήρια, οι εισβολείς τα επαναλαμβάνουν συστηματικά σε διαδικτυακές υπηρεσίες οργανισμών-θυμάτων, συμπεριλαμβανομένων των πλατφορμών συνεργασίας, των αποθετηρίων πηγαίου κώδικα και των κονσολών διαχείρισης cloud.
Οι ερευνητές του AWS παρατήρησαν επανειλημμένα αυτό το μοτίβο: παραβίαση της συσκευής, ακολουθούμενη από προσπάθειες ελέγχου ταυτότητας χρησιμοποιώντας κλεμμένα διαπιστευτήρια έναντι των υπηρεσιών cloud του θύματος και των εταιρικών εφαρμογών.
Οι εισβολείς δημιούργησαν συνδέσεις με τερματικά σημεία ελέγχου ταυτότητας σε πολλούς τομείς, συμπεριλαμβανομένων των ηλεκτρικών επιχειρήσεων κοινής ωφέλειας, των παρόχων ενέργειας, των διαχειριζόμενων παρόχων ασφάλειας και των εταιρειών τηλεπικοινωνιών που εκτείνονται στη Βόρεια Αμερική, την Ευρώπη και τη Μέση Ανατολή.
Η εκμετάλλευση του WatchGuard έδειξε την τεχνική προσέγγιση των επιτιθέμενων. Το ωφέλιμο φορτίο εκμετάλλευσης που καταγράφηκε δείχνει πώς κρυπτογραφούσαν κλεμμένα αρχεία διαμόρφωσης χρησιμοποιώντας τη βιβλιοθήκη κρυπτογράφησης Fernet, τα διήθησαν μέσω TFTP σε παραβιασμένους διακομιστές σταδιοποίησης και αφαίρεσαν στοιχεία διαγράφοντας προσωρινά αρχεία.
Αυτή η μεθοδολογία αποκαλύπτει προσεκτική προσοχή στην επιχειρησιακή ασφάλεια και την αντιεγκληματολογία.
Related Posts
Χάκερ που εκμεταλλεύονται ενεργά Cisco και Citrix 0-Days in the Wild για να αναπτύξουν το Webshell
Το Cloudflare αποκαλύπτει τεχνικές λεπτομέρειες πίσω από τη μαζική διακοπή λειτουργίας που σπάει το Διαδίκτυο
Νέες παραλλαγές Ransomware που στοχεύουν τις υπηρεσίες Amazon S3 αξιοποιώντας εσφαλμένες διαμορφώσεις και ελέγχους πρόσβασης
