Het dreigingsinformatieteam van Amazon heeft details bekendgemaakt van een “jarenlange” door de Russische staat gesponsorde campagne die zich tussen 2021 en 2025 richtte op de westerse kritieke infrastructuur.
Doelstellingen van de campagne waren onder meer organisaties uit de energiesector in westerse landen, aanbieders van kritieke infrastructuur in Noord-Amerika en Europa, en entiteiten met een in de cloud gehoste netwerkinfrastructuur. De activiteit is met groot vertrouwen toegeschreven aan de GRU-gelieerde APT44, ook bekend als FROZENBARENTS, Sandworm, Seashell Blizzard en Voodoo Bear.
De activiteit is opmerkelijk vanwege het gebruik als initiële toegangsvectoren van verkeerd geconfigureerde netwerkrandapparaten van klanten met blootgestelde beheerinterfaces, omdat de exploitatie van N-day- en zero-day-kwetsbaarheden in de loop van de periode is afgenomen – indicatief voor een verschuiving in aanvallen gericht op kritieke infrastructuur, zei de technologiegigant.
“Deze tactische aanpassing maakt dezelfde operationele resultaten, het verzamelen van referenties en zijwaartse beweging naar de online diensten en infrastructuur van slachtofferorganisaties mogelijk, terwijl de blootstelling van de actor en de uitgaven aan middelen worden verminderd”, zegt CJ Moses, Chief Information Security Officer (CISO) van Amazon Integrated Security.
Er is gebleken dat de aanvallen in de loop van vijf jaar gebruik hebben gemaakt van de volgende kwetsbaarheden en tactieken:
- 2021-2022 – Exploitatie van WatchGuard Firebox en XTM-fout (CVE-2022-26318) en targeting van verkeerd geconfigureerde edge-netwerkapparaten
- 2022-2023 – Exploitatie van Atlassian Confluence-fouten (CVE-2021-26084 en CVE-2023-22518) en voortdurende targeting van verkeerd geconfigureerde edge-netwerkapparaten
- 2024 – Exploitatie van Veeam-fout (CVE-2023-27532) en voortdurende targeting van verkeerd geconfigureerde edge-netwerkapparaten
- 2025 – Aanhoudende targeting van verkeerd geconfigureerde edge-netwerkapparaten
De inbraakactiviteit had volgens Amazon betrekking op bedrijfsrouters en routeringsinfrastructuur, VPN-concentrators en gateways voor externe toegang, apparaten voor netwerkbeheer, samenwerkings- en wiki-platforms en cloudgebaseerde projectbeheersystemen.
Deze inspanningen zijn waarschijnlijk bedoeld om het verzamelen van inloggegevens op grote schaal te vergemakkelijken, gezien het vermogen van de bedreigingsactoren om zichzelf strategisch aan de rand van het netwerk te positioneren om gevoelige informatie onderweg te onderscheppen. Telemetriegegevens hebben ook onthuld wat wordt beschreven als gecoördineerde pogingen gericht op verkeerd geconfigureerde randapparatuur van klantennetwerken die worden gehost op de Amazon Web Services (AWS)-infrastructuur.
“Netwerkverbindingsanalyse laat zien dat door actoren gecontroleerde IP-adressen persistente verbindingen tot stand brengen met gecompromitteerde EC2-instances die de netwerkapparatuursoftware van klanten besturen”, aldus Moses. “Analyse bracht aanhoudende verbindingen aan het licht die consistent zijn met interactieve toegang en het ophalen van gegevens in meerdere getroffen instanties.”
Bovendien zei Amazon dat het aanvallen van inloggegevens tegen de onlinediensten van slachtofferorganisaties heeft waargenomen als onderdeel van pogingen om diepere voet aan de grond te krijgen in gerichte netwerken. Hoewel deze pogingen als niet succesvol worden beschouwd, versterken ze de bovengenoemde hypothese dat de tegenstander inloggegevens van de gecompromitteerde netwerkinfrastructuur van klanten bemachtigt voor vervolgaanvallen.
De hele aanval verloopt als volgt:
- Compromiseer het netwerkrandapparaat van de klant dat op AWS wordt gehost
- Maak gebruik van de native mogelijkheden voor het vastleggen van pakketten
- Verzamel inloggegevens van onderschept verkeer
- Speel de inloggegevens opnieuw af tegen de online diensten en infrastructuur van de slachtofferorganisaties
- Zorg voor blijvende toegang voor zijwaartse beweging
De credential replay-operaties zijn gericht op energie-, technologie-/clouddiensten en telecomdienstverleners in Noord-Amerika, West- en Oost-Europa en het Midden-Oosten.
“De targeting toont aan dat er sprake is van een aanhoudende focus op de toeleveringsketen van de energiesector, inclusief zowel directe operators als externe dienstverleners met toegang tot kritieke infrastructuurnetwerken”, merkte Moses op.
Interessant is dat de inbraakset ook infrastructuuroverlappingen deelt met een ander cluster dat door Bitdefender wordt gevolgd onder de naam Curly COMrades, waarvan wordt aangenomen dat het sinds eind 2023 opereert met belangen die in lijn zijn met Rusland. Dit heeft de mogelijkheid doen ontstaan dat de twee clusters complementaire operaties kunnen vertegenwoordigen binnen een bredere campagne van GRU.
“Deze potentiële operationele divisie, waarbij het ene cluster zich richt op netwerktoegang en aanvankelijke compromissen, terwijl een ander zich bezighoudt met hostgebaseerde volharding en ontduiking, sluit aan bij de operationele patronen van GRU van gespecialiseerde subclusters die bredere campagnedoelstellingen ondersteunen”, aldus Moses.
Amazon zei dat het getroffen klanten heeft geïdentificeerd en op de hoogte heeft gesteld, en dat het de activiteiten van actieve bedreigingsactoren tegen zijn clouddiensten heeft verstoord. Organisaties wordt aangeraden om alle netwerkrandapparaten te controleren op onverwachte hulpprogramma’s voor het vastleggen van pakketten, sterke authenticatie te implementeren, te controleren op authenticatiepogingen vanaf onverwachte geografische locaties en aanvallen op het opnieuw afspelen van inloggegevens in de gaten te houden.
