El equipo de inteligencia de amenazas de Amazon ha revelado detalles de una campaña liderada por el estado ruso de «varios años» dirigida a infraestructuras críticas en Occidente entre 2021 y 2025.
Los objetivos de la campaña incluyeron organizaciones del sector energético en países occidentales, proveedores de infraestructura crítica en América del Norte y Europa y empresas con infraestructura de red alojada en la nube. Se cree con gran seguridad que esta actividad es obra de APT44, un grupo afiliado a GRU, también conocido como FROZENBARENTS, Sandworm, Seashell Blizzard y Voodoo Bear.
Esta actividad se destacó por utilizar un dispositivo de borde de red de cliente mal configurado con una interfaz de administración expuesta como vector de acceso inicial, lo que indica un cambio en los ataques dirigidos a infraestructura crítica, dijo el gigante tecnológico, a medida que la actividad de explotación de vulnerabilidades de día N y día cero disminuye con el tiempo.
«Esta adaptación táctica reduce el riesgo y el gasto de recursos para los atacantes al tiempo que permite los mismos resultados operativos, recopilación de credenciales y movimiento lateral hacia la infraestructura y los servicios en línea de las organizaciones víctimas», dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security.
Se descubrió que este ataque utiliza las siguientes vulnerabilidades y tácticas durante un período de cinco años.
2021-2022: Explotación de fallas de WatchGuard Firebox y XTM (CVE-2022-26318) y localización de dispositivos de red de borde mal configurados 2022-2023: Explotación de fallas de Atlassian Confluence (CVE-2021-26084 y CVE-2023-22518) y localización de redes de borde mal configuradas Orientación continua de dispositivos 2024 – Explotación de la falla de Veeam (CVE-2023-27532) y focalización continua en dispositivos de red perimetral mal configurados 2025 – Focalización continua en dispositivos de red perimetral mal configurados
Según Amazon, la intrusión identificó enrutadores empresariales e infraestructura de enrutamiento, concentradores VPN y puertas de enlace de acceso remoto, dispositivos de administración de redes, plataformas wiki y de colaboración, y sistemas de gestión de proyectos basados en la nube.
Dada la capacidad de los atacantes para posicionarse estratégicamente en el borde de la red e interceptar información confidencial en tránsito, es probable que estos esfuerzos estén diseñados para facilitar la recopilación de credenciales a gran escala. Los datos de telemetría también revelaron lo que se describió como un intento coordinado de apuntar a dispositivos de borde de red de clientes mal configurados y alojados en la infraestructura de Amazon Web Services (AWS).
«El análisis de la conectividad de la red mostró que las direcciones IP controladas por el atacante establecieron conexiones persistentes con instancias EC2 comprometidas que operaban el software de dispositivos de red del cliente», dijo Moses. «El análisis reveló conexiones persistentes consistentes con el acceso interactivo y la recuperación de datos en múltiples instancias afectadas».
Además, Amazon dijo que observó ataques de reproducción de credenciales contra los servicios en línea de las organizaciones víctimas como parte de un intento de ganar un punto de apoyo más profundo en las redes específicas. Aunque estos intentos se consideran infructuosos, dan peso a la hipótesis antes mencionada de que los atacantes están recopilando credenciales de la infraestructura de red del cliente comprometida para ataques posteriores.
Todo el ataque se desarrolla de la siguiente manera.
Comprometer el dispositivo de borde de red de un cliente alojado en AWS Aprovechar las capacidades nativas de captura de paquetes Recopilar credenciales del tráfico interceptado Reproducir credenciales contra la infraestructura y los servicios en línea de la organización víctima Establecer acceso persistente para el movimiento lateral
La operación de recuperación de credenciales está dirigida a proveedores de servicios de energía, tecnología/nube y servicios de comunicaciones en América del Norte, Europa Occidental, Europa del Este y Medio Oriente.
«Este establecimiento de objetivos demuestra nuestro enfoque continuo en la cadena de suministro del sector energético, incluidos operadores directos y proveedores de servicios externos con acceso a redes de infraestructura críticas», dijo Moses.
Curiosamente, este conjunto de intrusiones también se superpone en infraestructura con otro grupo que Bitdefender rastrea bajo el nombre Curly COMrades, que se cree que opera con intereses alineados con Rusia desde finales de 2023. Esto plantea la posibilidad de que los dos grupos puedan estar llevando a cabo actividades complementarias dentro de una campaña más amplia llevada a cabo por el GRU.
«Esta posible división de operaciones es consistente con el patrón operativo de GRU de subgrupos especializados que apoyan objetivos de campaña más amplios, con un grupo centrado en el acceso a la red y el compromiso inicial y otro grupo que maneja la persistencia y la evasión basada en host», dijo Moses.
Amazon dijo que identificó y notificó a los clientes afectados e interrumpió los esfuerzos de un atacante activo que apuntaba a sus servicios en la nube. Recomendamos que las organizaciones auditen todos los dispositivos perimetrales de la red en busca de utilidades de captura de paquetes inesperadas, implementen una autenticación sólida, supervisen los intentos de autenticación desde ubicaciones geográficas inesperadas y supervisen los ataques de reproducción de credenciales.
Source link
