El equipo de inteligencia de amenazas de Amazon ha divulgado detalles de una campaña patrocinada por el estado ruso que duró «años» y que tuvo como objetivo la infraestructura crítica occidental entre 2021 y 2025.
Los objetivos de la campaña incluían organizaciones del sector energético de los países occidentales, proveedores de infraestructuras críticas en Norteamérica y Europa y entidades con infraestructura de red alojada en la nube. La actividad se ha atribuido con gran confianza a la Dirección Principal de Inteligencia (GRU) de Rusia, alegando que la infraestructura se superpone con APT 44 , también conocido como FROZENBARENTS, Sandworm, Seashell Blizzard y Voodoo Bear.
La actividad destaca por utilizar como vectores de acceso iniciales dispositivos periféricos de red de clientes mal configurados con interfaces de administración expuestas, ya que la actividad de explotación de vulnerabilidades de día N y día cero disminuyó a lo largo del período, lo que indica un cambio en los ataques dirigidos a infraestructuras críticas, según el gigante tecnológico.
«Esta adaptación táctica permite obtener los mismos resultados operativos, recopilar credenciales y acceder lateralmente a los servicios e infraestructuras en línea de las organizaciones víctimas, al tiempo que reduce la exposición del actor y el gasto de recursos», afirma CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security.
Se ha descubierto que los ataques aprovechan las siguientes vulnerabilidades y tácticas a lo largo de cinco años:
- 2021-2022 - Explotación de la falla de WatchGuard Firebox y XTM ( CVE-26318 ) y la segmentación de dispositivos de red perimetrales mal configurados
- ▸ Explotación de las fallas de Atlassian Confluence ( CVE-2021-26084 y CVE-2023-22518 ) y la continua segmentación de dispositivos de red perimetrales mal configurados
- 2024: falla de explotación de Veeam ( CVE-2023-27532 ) y la continua segmentación de dispositivos de red perimetrales mal configurados
- 2025: segmentación sostenida de dispositivos de red perimetrales mal configurados
La actividad de intrusión, según Amazon, se centró en los enrutadores empresariales y la infraestructura de enrutamiento, los concentradores de VPN y las pasarelas de acceso remoto, los dispositivos de administración de redes, las plataformas wiki y de colaboración y los sistemas de gestión de proyectos basados en la nube.
Es probable que estos esfuerzos estén diseñados para facilitar la recolección de credenciales a gran escala, dada la capacidad del actor de la amenaza de posicionarse estratégicamente en el borde de la red para interceptar información confidencial en tránsito. Los datos de telemetría también han descubierto lo que se ha descrito como intentos coordinados dirigidos a configurar mal los dispositivos periféricos de la red de los clientes alojados en la infraestructura de Amazon Web Services (AWS).
«El análisis de las conexiones de red muestra que las direcciones IP controladas por los actores establecen conexiones persistentes a instancias EC2 comprometidas que utilizan el software de los dispositivos de red de los clientes», afirma Moses. «El análisis reveló que las conexiones persistentes eran compatibles con el acceso interactivo y la recuperación de datos en varias instancias afectadas».
Además, Amazon dijo que había observado ataques por reproducción de credenciales contra los servicios en línea de las organizaciones víctimas como parte de los intentos por afianzarse más en las redes objetivo. Si bien estos intentos se consideran infructuosos, refuerzan la hipótesis antes mencionada de que el adversario está robando credenciales de la infraestructura de red de los clientes comprometida para realizar ataques posteriores.
Todo el ataque se desarrolla de la siguiente manera -
- Comprometa el dispositivo perimetral de la red del cliente alojado en AWS
- Aproveche la capacidad nativa de captura de paquetes
- Recopile las credenciales del tráfico interceptado
- Reproduzca las credenciales en la infraestructura y los servicios en línea de las organizaciones víctimas
- Establezca un acceso persistente para el movimiento lateral
Las operaciones de reproducción de credenciales se han dirigido a proveedores de servicios de energía, tecnología y nube y telecomunicaciones en Norteamérica, Europa occidental y oriental y Oriente Medio.
«La meta demuestra un enfoque sostenido en la cadena de suministro del sector energético, que incluye tanto a los operadores directos como a los proveedores de servicios externos con acceso a redes de infraestructura crítica», señaló Moses.
Curiosamente, el conjunto de intrusión también comparte superposiciones de infraestructura (91.99.25 [.] 54) con otro clúster rastreado por Bitdefender con el nombre Camaradas rizados , que se cree que opera con intereses alineados con Rusia desde finales de 2023. Esto ha planteado la posibilidad de que los dos grupos representen operaciones complementarias dentro de una campaña más amplia emprendida por el GRU.
«Esta posible división operativa, en la que un clúster se centra en el acceso a la red y en el compromiso inicial, mientras que otro se ocupa de la persistencia y la evasión basadas en el host, se alinea con los patrones operativos del GRU de los subclústeres especializados que respaldan objetivos de campaña más amplios», dijo Moses.
Amazon dijo que identificó y notificó a los clientes afectados, además de interrumpir las operaciones activas de los actores de amenazas dirigidas a sus servicios en la nube. Sin embargo, la empresa no reveló cuántos ataques ha registrado como parte de la campaña ni ha dicho si se ha producido un cambio en el ritmo operativo desde que se produjo la primera ola de ataques en 2021.
Se recomienda a las organizaciones auditar todos los dispositivos periféricos de la red para detectar utilidades de captura de paquetes inesperadas, implementar una autenticación sólida, supervisar los intentos de autenticación desde ubicaciones geográficas inesperadas y controlar los ataques de reproducción de credenciales.