El equipo de inteligencia de amenazas de Amazon ha revelado detalles de una campaña patrocinada por el estado ruso de “un año” que tuvo como objetivo infraestructura occidental crítica entre 2021 y 2025.
Los objetivos de la campaña incluyeron organizaciones del sector energético en países occidentales, proveedores de infraestructura crítica en América del Norte y Europa y empresas con infraestructura de red alojada en la nube. Es casi seguro que la actividad se atribuyó al APT44 afiliado al GRU, también conocido como FROZENBARENTS, Sandworm, Seashell Blizzard y Voodoo Bear.
La actividad se caracteriza por el uso de dispositivos de borde de red de clientes mal configurados con interfaces de administración expuestas como vectores de acceso inicial, ya que la actividad que explota las vulnerabilidades de día N y día cero disminuyó durante el período, lo que indica un cambio en los ataques a la infraestructura crítica, dijo el gigante tecnológico.
“Este ajuste táctico permite los mismos resultados operativos, recopilación de credenciales y movimiento lateral hacia la infraestructura y los servicios en línea de las organizaciones víctimas, al tiempo que reduce la exposición de los actores y el gasto de recursos”, dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security.
Se descubrió que los ataques a lo largo de cinco años explotaban las siguientes vulnerabilidades y tácticas:
- 2021-2022: Explotación de la falla WatchGuard Firebox y XTM (CVE-2022-26318) y apuntando a dispositivos de red perimetrales mal configurados
- 2022-2023: Explotación de las vulnerabilidades de Atlassian Confluence (CVE-2021-26084 y CVE-2023-22518) y continuación de la lucha contra los dispositivos de red perimetrales mal configurados
- 2024: Explotación de la vulnerabilidad Veeam (CVE-2023-27532) y ataques continuos a dispositivos de red perimetrales mal configurados
- 2025: ataque sostenido a dispositivos de red perimetrales mal configurados
Según Amazon, la actividad de intrusión afectó a los enrutadores empresariales y la infraestructura de enrutamiento, los concentradores VPN y las puertas de enlace de acceso remoto, los dispositivos de administración de redes, las plataformas wiki y de colaboración y los sistemas de gestión de proyectos basados en la nube.
Es probable que estos esfuerzos tengan como objetivo facilitar la recopilación de credenciales a gran escala al permitir que el actor de la amenaza se posicione estratégicamente en el borde de la red para interceptar información confidencial en tránsito. Los datos de telemetría también han descubierto los llamados intentos coordinados dirigidos a dispositivos de borde de red de clientes mal configurados y alojados en la infraestructura de Amazon Web Services (AWS).
“El análisis de la conexión de red muestra que las direcciones IP controladas por los actores establecen conexiones persistentes con instancias EC2 comprometidas que ejecutan el software de dispositivos de red de los clientes”, dijo Moses. “El análisis reveló conexiones persistentes consistentes con el acceso interactivo y la recuperación de datos en múltiples instancias afectadas”.
Además, Amazon dijo que ha observado ataques de reproducción de credenciales contra los servicios en línea de las organizaciones víctimas como parte de intentos de penetrar más profundamente en las redes objetivo. Aunque estos intentos se consideran infructuosos, respaldan la hipótesis anterior de que el atacante está capturando credenciales de la infraestructura de red del cliente comprometida para ataques posteriores.
Todo el ataque es así:
- Comprometer el dispositivo de borde de red del cliente alojado en AWS
- Utilice la función de captura de paquetes nativa
- Recopilar credenciales del tráfico interceptado
- Repetir las credenciales con los servicios online y la infraestructura de las organizaciones víctimas.
- Crear acceso permanente para el movimiento lateral
Las operaciones de reproducción de credenciales se dirigieron a proveedores de servicios de energía, tecnología/nube y servicios de telecomunicaciones en toda América del Norte, Europa occidental y oriental y Medio Oriente.
“La focalización selectiva demuestra un enfoque sostenido en la cadena de suministro del sector energético, incluidos los operadores directos y proveedores de servicios externos con acceso a redes de infraestructura críticas”, señaló Moses.
Curiosamente, el conjunto de intrusión también tiene una infraestructura superpuesta con otro clúster rastreado por Bitdefender bajo el nombre Curly COMrades, que se cree que ha estado operando con intereses alineados con Rusia desde finales de 2023. Esto ha planteado la posibilidad de que los dos clústeres puedan representar operaciones complementarias dentro de una campaña GRU más amplia.
“Esta posible división operativa, donde un grupo se centra en el acceso a la red y el compromiso inicial mientras que otro maneja la persistencia y la evasión basada en el host, es consistente con los patrones operativos de GRU de subgrupos especializados que respaldan objetivos de campaña más amplios”, dijo Moses.
Amazon dijo que había identificado y notificado a los clientes afectados e interrumpido a los actores de amenazas activas que apuntaban a sus servicios en la nube. Se recomienda a las organizaciones escanear todos los dispositivos perimetrales de la red en busca de utilidades de captura de paquetes inesperadas, implementar una autenticación sólida, monitorear los intentos de autenticación desde ubicaciones geográficas inesperadas y estar atentos a los ataques de reproducción de credenciales.
About The Author
