Amazon Tehdit İstihbaratının yeni araştırmasına göre, GRU’ya (Glavnoye Razvedyvatelnoye Upravleniye veya Ana İstihbarat Müdürlüğü) bağlı Rus devleti destekli tehdit aktörleri, yazılım açıklarından ziyade temel yapılandırma hatalarından yararlanarak kritik altyapı ağlarına giderek daha fazla giriyor.
Amazon, bu etkinliği büyük bir güvenle APT44 ve Seashell Blizzard olarak da takip edilen Sandworm’a bağlıyor. Kampanya, en az 2021’den bu yana Kuzey Amerika ve Avrupa’daki enerji sağlayıcılarını ve diğer kritik altyapı kuruluşlarını hedef alıyor. Amazon ayrıca, uzlaşma sonrası faaliyetleri ele aldığı görünen Curly COMrades olarak bir grup Bitdefender parçasıyla altyapı çakışmasını da tanımladı.
Saldırganlar, 2021 ile 2024 yılları arasında erişim kazanmak için sıklıkla bilinen ve sıfır gün güvenlik açıklarından yararlanmaya başvurdu. Amazon, WatchGuard güvenlik duvarları, Atlassian Confluence ve Veeam yedekleme yazılımındaki kusurlardan yararlanıldığını gözlemledi. 2025 yılında bu aktivite keskin bir şekilde azaldı ve yerini, yanlış yapılandırılmış ağ uç cihazlarının sürekli olarak hedeflenmesi aldı.
Saldırganlar, açıkta kalan veya güvenliği zayıf yönetim arayüzlerine sahip kurumsal yönlendiricilere, VPN ağ geçitlerine ve ağ yönetimi cihazlarına odaklandı. Bu cihazların çoğu, AWS de dahil olmak üzere bulut ortamlarında çalışan, müşteriye ait cihazlardı. Amazon, etkinliğin AWS altyapısındaki zayıflıklardan ziyade müşterinin yanlış yapılandırmasından kaynaklandığını belirtti.
Grup, erişim sağladıktan sonra kullanıcı kimlik bilgilerini topladı ve daha sonra bunları kurban kuruluşların çevrimiçi hizmetlerinde yeniden kullanmaya çalıştı. Amazon, kimlik bilgilerinin muhtemelen ele geçirilen cihazlarda paket yakalama özellikleri kullanılarak pasif trafiğe müdahale yoluyla toplandığını değerlendirdi. Daha sonra kimlik bilgilerinin yeniden oynatılması, işbirliği platformlarını, kaynak kodu depolarını ve telekom hizmetlerini hedef aldı.
Kampanya, elektrik hizmetleri, yönetilen hizmet sağlayıcılar ve destekleyici teknoloji firmaları dahil olmak üzere enerji sektörü ve tedarik zincirine güçlü bir şekilde odaklanmayı sürdürdü. Hedefleme, Kuzey Amerika, Avrupa ve Orta Doğu’daki faaliyetlerle küresel olarak gözlemlendi.
Amazon’un CISO’su CJ Moses’ın bir blog gönderisine göre şirket, güvenliği ihlal edilmiş meşru sunucuların proxy altyapısı olarak uzun vadeli kullanıldığını da belgeledi. Şirket, sistemler hala yasal hizmetleri barındırıyor olabileceğinden, listelenen güvenlik ihlali göstergelerinin doğrudan engellenmek yerine bağlam içinde araştırılması gerektiği konusunda uyardı.
Güvenlik uzmanları, bulguların daha düşük riskli erişim yöntemlerine doğru kasıtlı bir hareketi vurguladığını söylüyor. Black Duck Kıdemli Siber Güvenlik Çözüm Mimarı Chrissa Constantine, yanlış yapılandırılmış uç cihazların ve zayıf kimlik kontrollerinin, normal yönetim faaliyetlerine uyum sağlayan ve tespit edilmesi daha zor olan güvenilir erişim sağladığını söyledi.
Keeper Security Baş Bilgi Güvenliği Sorumlusu Shane Barney, etkinliğin temel güvenlik uygulamalarının değerini güçlendirdiğini söyledi. Kuruluşlara, ağ uç cihazlarının rutin denetimlerine öncelik vermelerini, açıkta kalan yönetim arayüzlerini ortadan kaldırmalarını ve olağandışı yönetim erişimlerini izlemelerini tavsiye etti. Ayrıca, uç cihazların güvenliği ihlal edildiğinde kimlik bilgilerinin tekrar oynatılmasının birincil risk olmaya devam ettiği konusunda da uyardı.
Amazon, kuruluşları ağ uç cihazlarını denetlemeye, kimlik bilgilerinin yeniden kullanımı için kimlik doğrulama günlüklerini incelemeye ve beklenmedik konumlardan yönetim erişimini izlemeye çağırdı. AWS ortamları için şirket, güvenlik grubu erişiminin kısıtlanmasını, yönetim arayüzlerinin yalıtılmasını, günlük kaydı ve tehdit algılama hizmetlerinin etkinleştirilmesini ve örneklerin açığa karşı düzenli olarak taranmasını önerdi.