Une bande de hackers russes propose une configuration d’installation de réseaux Edge-Geräten au sein d’une infrastructure critique en Amérique du Nord et en Europe.
L’équipe d’Amazon Threat Intelligence est au rendez-vous, un groupe de cyberspionnage de l’État russe s’occupe des entreprises d’énergie et des gestionnaires d’infrastructures critiques (KRITIS) dans le chapeau du Génie Visier.
Le groupe est actif depuis son esprit en 2021 et il est pour toutes les configurations d’entreprises de l’entreprise. Nous vous proposons également des solutions telles que CVE-2022-26318 dans WatchGuard Firebox et XTM-Geräten, CVE-2021-26084 et CVE-2023-22518 dans Confluence ou CVE-2023-2753 dans Veeam Backup aus.
Laut den von Amazon gesammelten Telemetriedaten hat sich die Gruppe in this jahr jedoch stark auf Fehlkonfigurationen konzentriert and sich von Zero-Day- or N-Day-Schwachstellen abgewendet. Les entreprises principales proposent des routeurs d’entreprise et des infrastructures de routage, des générateurs VPN et des passerelles d’accès à distance, des appareils de gestion de réseau, des collaborations et des plates-formes Wiki ainsi que des systèmes de gestion de projets basés sur le cloud.
« Cette gestion tactique permet d’assurer l’ergebnisse opératoire, nämlich das Sammeln von Anmeldedaten et latéral Bewegungen innerhalb der Online-Dienste et Infrastrukturen der Opfer, während gleichzeitig die Entdeckungsgefahr und der Ressourcenaufwand der Akteure werden werden », alors mourez les spécialistes de la sécurité.
Verbindungen zu Sandworm et Curly COMrades
Les données télémétriques sont actuellement en cours, car les infrastructures du groupe et Sandworm sont sous-estimées, comme APT44 et Seashell Blizzard, ainsi que le service militaire russe GRU dans le cadre de la liaison. Il s’agit d’un partenariat avec un groupe, les activités liées à la transition de Bitdefender sous la direction des documents de Namen Curly COMrades.
Il s’agit d’un des groupes internes du GRU qui s’occupent de vous : le groupe Amazon prend en charge le premier Zugriff et la gestion latérale, comme Curly COMrades la persistance des hôtes grâce à sa sécurité définie par Malware-Implantate CurlyShell et CurlCat.
Amazon vous envoie des informations sur les installations réseau Edge de Kunden, qui sont hébergées sur l’instance AWS-EC2. Dabei stellten die Angreifer über von ihnen kontrollierte IP-Adressen dauerhafte Verbindungen her. Dies deutet auf einen interaktiven Zugriff auf die kompromittierten Geräte hin.
Abgriff von Anmeldedaten
Les informations d’identification et de relecture des informations d’identification sont également disponibles auprès d’autres services en ligne de l’offre, ainsi que des dates de domaine gérées lors de la promotion des réseaux Edge-Geräten. L’équipe Amazon s’occupe désormais de l’ensemble des données relatives aux données, ainsi que des fonctions de gestion coordonnée pour la configuration et d’analyse des données fournies.
« L’heure actuelle de la promotion de l’exploitation et de l’authentification permet de créer le service d’exploitation de manière active, soit dans un échantillonnage passif, soit dans un établissement actif d’Anmeldedaten », dit-il dans le Forschungsbericht.
Beim Abfangen des Netzwerkverkehrs gehen die Angreifer ähnlich vor wie Sandworm. Die gezielte Ausrichtung auf Netzwerk-Edge-Geräte versetzt sie dabei in die Lage, Anmeldedaten während der Übertragung abzufangen.
Conseils de protection pour KRITIS-Betreiber
Le groupe s’est concentré sur le secteur de l’énergie. Dazu zählen zudem MSSPs (Managed Security Service Provider) mit Kunden aus der Energieversorgung. Les Angreifer ont également des fournisseurs de technologie et de cloud qui proposent des services TK dans de nombreuses régions dans leur génome visuel.
Amazon est un fournisseur qui utilise votre réseau Edge pour créer des fichiers de capture de paquets non autorisés ou un programme de support à utiliser. Zudem wird empfohlen, Gerätekonfigurationen zu checken and Verwaltungsschnittstellen zu isolieren sowie a Multi-Faktor-Authentifizierung zu mise en œuvre.
Unternehmen sollten außerdem Authentifizierungsprotokolle prüfen and Authentifizierungsversuche aus unerwarteten geografischen Standorten überwachen. Il s’agit donc d’une recherche d’anomalies pour l’authentification de tous les services en ligne mis en œuvre. Auch die Verwendung von Klartextprotokollen, die Anmeldedaten während der Übertragung offenlegen könnten, sollte kontrolliert werden.
Le site Amazon dispose d’indicateurs pour les opérations de promotion dans le cadre de cette campagne de protection des données, ainsi que de mesures de sécurité spécifiques pour les opérations AWS. (jm)
