Amazon’un tehdit istihbarat ekibi, 2021 ile 2025 yılları arasında Batı’nın kritik altyapısını hedef alan, Rusya devleti destekli “yıllarca süren” bir kampanyanın ayrıntılarını açıkladı.
Kampanyanın hedefleri arasında Batı ülkelerindeki enerji sektörü kuruluşları, Kuzey Amerika ve Avrupa’daki kritik altyapı sağlayıcıları ve bulutta barındırılan ağ altyapısına sahip kuruluşlar yer alıyordu. Faaliyet, FROZENBARENTS, Sandworm, Seashell Blizzard ve Voodoo Bear olarak da bilinen GRU’ya bağlı APT44’e büyük bir güvenle atfedildi.
Teknoloji devi, N gün ve sıfır gün güvenlik açığından yararlanma etkinliğinin zaman içinde azalması nedeniyle, kritik altyapıyı hedef alan saldırılarda bir değişimin göstergesi olarak, etkinliğin, ilk erişim vektörleri olarak, açık yönetim arayüzlerine sahip, yanlış yapılandırılmış müşteri ağı uç cihazlarını kullanması nedeniyle dikkate değer olduğunu belirtti.
Amazon Integrated Security’nin Bilgi Güvenliği Baş Sorumlusu (CISO) CJ Moses, “Bu taktiksel uyarlama, aynı operasyonel sonuçları, kimlik bilgileri toplamayı ve mağdur kuruluşların çevrimiçi hizmetlerine ve altyapısına yatay geçişe olanak tanırken, aktörün maruziyetini ve kaynak harcamasını da azaltır.” dedi.
Saldırıların beş yıl boyunca aşağıdaki güvenlik açıklarından ve taktiklerden yararlandığı tespit edildi:
- 2021-2022 – WatchGuard Firebox ve XTM kusurundan (CVE-2022-26318) yararlanılması ve yanlış yapılandırılmış uç ağ cihazlarının hedeflenmesi
- 2022-2023 – Atlassian Confluence kusurlarından (CVE-2021-26084 ve CVE-2023-22518) yararlanılması ve yanlış yapılandırılmış uç ağ cihazlarının sürekli hedeflenmesi
- 2024 – Veeam kusurundan (CVE-2023-27532) yararlanılması ve yanlış yapılandırılmış uç ağ cihazlarının sürekli hedeflenmesi
- 2025 – Yanlış yapılandırılmış uç ağ cihazlarının sürekli hedeflenmesi
Amazon’a göre izinsiz giriş faaliyeti, kurumsal yönlendiricileri ve yönlendirme altyapısını, VPN yoğunlaştırıcılarını ve uzaktan erişim ağ geçitlerini, ağ yönetimi cihazlarını, işbirliği ve wiki platformlarını ve bulut tabanlı proje yönetim sistemlerini belirledi.
Tehdit aktörünün aktarım sırasında hassas bilgileri ele geçirmek için kendilerini stratejik olarak ağ kenarında konumlandırma becerisi göz önüne alındığında, bu çabalar büyük olasılıkla kimlik bilgilerinin geniş ölçekte toplanmasını kolaylaştırmak için tasarlanmıştır. Telemetri verileri, Amazon Web Services (AWS) altyapısında barındırılan, yanlış yapılandırılmış müşteri ağı uç cihazlarına yönelik koordineli girişimler olarak tanımlanan girişimleri de ortaya çıkardı.
Moses, “Ağ bağlantısı analizi, aktör kontrollü IP adreslerinin, müşterilerin ağ cihazı yazılımını çalıştıran tehlikeye atılmış EC2 bulut sunucularına kalıcı bağlantılar kurduğunu gösteriyor” dedi. “Analiz, birden fazla etkilenen örnekte etkileşimli erişim ve veri alımıyla tutarlı kalıcı bağlantıları ortaya çıkardı.”
Ayrıca Amazon, hedeflenen ağlarda daha derin bir yer edinme girişimlerinin bir parçası olarak mağdur kuruluşların çevrimiçi hizmetlerine yönelik kimlik bilgileri tekrarlama saldırıları gözlemlediğini söyledi. Her ne kadar bu girişimler başarısız olarak değerlendirilse de, saldırganın sonraki saldırılar için güvenliği ihlal edilmiş müşteri ağı altyapısından kimlik bilgilerini ele geçirdiği yönünde yukarıda belirtilen hipotezi güçlendiriyor.
Saldırının tamamı şu şekilde oynanır:
- AWS’de barındırılan müşteri ağ uç cihazının güvenliğini tehlikeye atın
- Yerel paket yakalama yeteneğinden yararlanın
- Ele geçirilen trafikten kimlik bilgileri toplayın
- Kurban kuruluşların çevrimiçi hizmetlerine ve altyapısına karşı kimlik bilgilerini tekrar oynatın
- Yanal hareket için kalıcı erişim sağlayın
Kimlik bilgisi tekrarlama operasyonları, Kuzey Amerika, Batı ve Doğu Avrupa ve Orta Doğu’daki enerji, teknoloji/bulut hizmetleri ve telekom hizmet sağlayıcılarını hedef aldı.
Moses, “Hedefleme, hem doğrudan operatörler hem de kritik altyapı ağlarına erişimi olan üçüncü taraf hizmet sağlayıcılar dahil olmak üzere enerji sektörü tedarik zincirine sürekli odaklanıldığını gösteriyor” dedi.
İlginç bir şekilde, izinsiz giriş seti aynı zamanda Bitdefender tarafından Curly COMrades adı altında takip edilen ve 2023’ün sonlarından bu yana Rusya ile uyumlu çıkarlarla faaliyet gösterdiğine inanılan başka bir kümeyle altyapı örtüşmelerini paylaşıyor. Bu, iki kümenin GRU tarafından üstlenilen daha geniş bir kampanya kapsamında tamamlayıcı operasyonları temsil etme olasılığını artırdı.
Moses, “Bir kümenin ağ erişimine ve ilk uzlaşmaya odaklandığı, diğerinin ise ana bilgisayar tabanlı kalıcılık ve kaçınmayı ele aldığı bu potansiyel operasyonel bölüm, GRU’nun daha geniş kampanya hedeflerini destekleyen uzmanlaşmış alt kümelerin operasyonel modelleriyle uyumlu.” dedi.
Amazon, etkilenen müşterileri tespit edip bilgilendirdiğini ve ayrıca bulut hizmetlerini hedef alan aktif tehdit aktörü operasyonlarını kesintiye uğrattığını söyledi. Kuruluşların, tüm ağ uç cihazlarını beklenmedik paket yakalama yardımcı programlarına karşı denetlemesi, güçlü kimlik doğrulaması uygulaması, beklenmedik coğrafi konumlardan gelen kimlik doğrulama girişimlerini izlemesi ve kimlik bilgisi tekrarlama saldırılarını takip etmesi önerilir.