El equipo de inteligencia de amenazas de Amazon ha revelado detalles de una campaña patrocinada por el estado ruso de «años de duración» que tuvo como objetivo la infraestructura crítica occidental entre 2021 y 2025.
Los objetivos de la campaña incluyeron organizaciones del sector energético de los países occidentales, proveedores de infraestructura crítica en América del Norte y Europa y entidades con infraestructura de red alojada en la nube. La actividad se ha atribuido con gran confianza al APT44, afiliado al GRU, que también se conoce como FROZENBARENTS, Sandworm, Seashell Blizzard y Voodoo Bear.
La actividad se destaca por utilizar como vectores de acceso inicial dispositivos de borde de red de clientes mal configurados con interfaces de administración expuestas, ya que la actividad de explotación de vulnerabilidades de día N y día cero disminuyó durante el período, lo que indica un cambio en los ataques dirigidos a infraestructura crítica, dijo el gigante tecnológico.
«Esta adaptación táctica permite los mismos resultados operativos, recolección de credenciales y movimiento lateral hacia la infraestructura y los servicios en línea de las organizaciones víctimas, al tiempo que reduce la exposición del actor y el gasto de recursos», dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security.
Se ha descubierto que los ataques aprovechan las siguientes vulnerabilidades y tácticas a lo largo de cinco años:
- 2021-2022: Explotación de la falla WatchGuard Firebox y XTM (CVE-2022-26318) y ataque a dispositivos de red perimetrales mal configurados
- 2022-2023: Explotación de fallas de Atlassian Confluence (CVE-2021-26084 y CVE-2023-22518) y ataque continuo a dispositivos de red de borde mal configurados
- 2024: Explotación de la falla de Veeam (CVE-2023-27532) y ataque continuo a dispositivos de red perimetrales mal configurados
- 2025: ataque sostenido a dispositivos de red perimetrales mal configurados
La actividad de intrusión, según Amazon, destacó enrutadores empresariales e infraestructura de enrutamiento, concentradores VPN y puertas de enlace de acceso remoto, dispositivos de administración de redes, plataformas wiki y de colaboración, y sistemas de gestión de proyectos basados en la nube.
Es probable que estos esfuerzos estén diseñados para facilitar la recolección de credenciales a escala, dada la capacidad del actor de la amenaza para posicionarse estratégicamente en el borde de la red para interceptar información confidencial en tránsito. Los datos de telemetría también han descubierto lo que se ha descrito como intentos coordinados dirigidos a dispositivos de borde de red de clientes mal configurados alojados en la infraestructura de Amazon Web Services (AWS).
«El análisis de la conexión de red muestra direcciones IP controladas por actores que establecen conexiones persistentes a instancias EC2 comprometidas que operan el software de dispositivos de red de los clientes», dijo Moses. «El análisis reveló conexiones persistentes consistentes con el acceso interactivo y la recuperación de datos en múltiples instancias afectadas».
Además, Amazon dijo que observó ataques de reproducción de credenciales contra los servicios en línea de las organizaciones víctimas como parte de los intentos de obtener un punto de apoyo más profundo en las redes específicas. Aunque se considera que estos intentos no tuvieron éxito, dan peso a la hipótesis antes mencionada de que el adversario está obteniendo credenciales de la infraestructura de red del cliente comprometida para realizar ataques posteriores.
Todo el ataque se desarrolla de la siguiente manera:
- Comprometer el dispositivo de borde de red del cliente alojado en AWS
- Aproveche la capacidad de captura de paquetes nativa
- Reúna credenciales del tráfico interceptado
- Reproducir credenciales contra la infraestructura y los servicios en línea de las organizaciones víctimas
- Establecer un acceso persistente para el movimiento lateral.
Las operaciones de reproducción de credenciales se han dirigido a proveedores de servicios de energía, tecnología/nube y servicios de telecomunicaciones en América del Norte, Europa occidental y oriental y Oriente Medio.
«El objetivo demuestra un enfoque sostenido en la cadena de suministro del sector energético, incluidos operadores directos y proveedores de servicios externos con acceso a redes de infraestructura críticas», señaló Moses.
Curiosamente, el conjunto de intrusión también comparte superposiciones de infraestructura con otro clúster rastreado por Bitdefender bajo el nombre Curly COMrades, que se cree que opera con intereses alineados con Rusia desde finales de 2023. Esto ha planteado la posibilidad de que los dos clústeres puedan representar operaciones complementarias dentro de una campaña más amplia emprendida por GRU.
«Esta posible división operativa, donde un grupo se centra en el acceso a la red y el compromiso inicial mientras que otro maneja la persistencia y la evasión basada en el host, se alinea con los patrones operativos de GRU de subgrupos especializados que respaldan objetivos de campaña más amplios», dijo Moses.
Amazon dijo que identificó y notificó a los clientes afectados, así como también interrumpió las operaciones activas de los actores de amenazas dirigidas a sus servicios en la nube. Se recomienda a las organizaciones auditar todos los dispositivos de borde de red para detectar utilidades de captura de paquetes inesperadas, implementar una autenticación sólida, monitorear intentos de autenticación desde ubicaciones geográficas inesperadas y controlar los ataques de reproducción de credenciales.
