VietNetwork.Vn

Nhóm tình báo về các mối đe dọa của Amazon đã tiết lộ chi tiết về một chiến dịch do nhà nước Nga tài trợ kéo dài "nhiều năm" nhằm vào cơ sở hạ tầng trọng yếu của phương Tây từ năm 2021 đến năm 2025.

Các mục tiêu của chiến dịch bao gồm các tổ chức trong lĩnh vực năng lượng ở các nước phương Tây, các nhà cung cấp cơ sở hạ tầng trọng yếu ở Bắc Mỹ và châu Âu, và các thực thể có cơ sở hạ tầng mạng được lưu trữ trên đám mây. Hoạt động này được cho là do Tổng cục Tình báo Nga (GRU) thực hiện với độ tin cậy cao, dựa trên sự trùng lặp về cơ sở hạ tầng với APT44, còn được biết đến với các tên gọi khác như FROZENBARENTS, Sandworm, Seashell Blizzard và Voodoo Bear.


Hoạt động này đáng chú ý vì đã sử dụng các thiết bị biên mạng của khách hàng được cấu hình sai với giao diện quản lý bị lộ làm vectơ truy cập ban đầu, trong khi hoạt động khai thác lỗ hổng N-day và zero-day giảm dần theo thời gian – cho thấy sự chuyển hướng trong các cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng, theo nhận định của gã khổng lồ công nghệ.

"Sự điều chỉnh chiến thuật này cho phép đạt được các kết quả hoạt động tương tự, thu thập thông tin đăng nhập và xâm nhập ngang vào các dịch vụ trực tuyến và cơ sở hạ tầng của các tổ chức nạn nhân, đồng thời giảm thiểu rủi ro và chi phí nguồn lực của kẻ tấn công", CJ Moses, Giám đốc An ninh Thông tin (CISO) của Amazon Integrated Security, cho biết.

Các cuộc tấn công được phát hiện đã lợi dụng những lỗ hổng và chiến thuật sau đây trong suốt năm năm qua:

    2021-2022 - Khai thác lỗ hổng WatchGuard Firebox và XTM ( CVE-2022-26318 ) và nhắm mục tiêu vào các thiết bị mạng biên được cấu hình sai.
    2022-2023 - Khai thác các lỗ hổng của Atlassian Confluence ( CVE-2021-26084 và CVE-2023-22518 ) và tiếp tục nhắm mục tiêu vào các thiết bị mạng biên được cấu hình sai.
    2024 - Khai thác lỗ hổng Veeam ( CVE-2023-27532 ) và tiếp tục nhắm mục tiêu vào các thiết bị mạng biên được cấu hình sai.
    2025 - Tập trung nhắm mục tiêu vào các thiết bị mạng biên bị cấu hình sai

Theo Amazon, hoạt động xâm nhập này nhắm vào các bộ định tuyến và cơ sở hạ tầng định tuyến doanh nghiệp, bộ tập trung VPN và cổng truy cập từ xa, thiết bị quản lý mạng, nền tảng cộng tác và wiki, cũng như các hệ thống quản lý dự án dựa trên đám mây.

Những nỗ lực này có thể được thiết kế để tạo điều kiện thuận lợi cho việc thu thập thông tin đăng nhập trên quy mô lớn, do khả năng của kẻ tấn công trong việc bố trí vị trí chiến lược ở rìa mạng để chặn thông tin nhạy cảm trong quá trình truyền tải. Dữ liệu đo từ xa cũng đã phát hiện ra những gì được mô tả là các nỗ lực phối hợp nhằm vào các thiết bị rìa mạng của khách hàng bị cấu hình sai được lưu trữ trên cơ sở hạ tầng Amazon Web Services (AWS).

"Phân tích kết nối mạng cho thấy các địa chỉ IP do kẻ tấn công kiểm soát đang thiết lập các kết nối liên tục đến các máy chủ EC2 bị xâm nhập, nơi vận hành phần mềm thiết bị mạng của khách hàng," Moses cho biết. "Phân tích cho thấy các kết nối liên tục này phù hợp với việc truy cập tương tác và thu thập dữ liệu trên nhiều máy chủ bị ảnh hưởng."

Ngoài ra, Amazon cho biết họ đã quan sát thấy các cuộc tấn công sao chép thông tin đăng nhập nhắm vào các dịch vụ trực tuyến của các tổ chức nạn nhân như một phần trong nỗ lực giành được chỗ đứng vững chắc hơn trong các mạng mục tiêu. Mặc dù những nỗ lực này được đánh giá là không thành công, nhưng chúng củng cố giả thuyết đã nêu ở trên rằng kẻ thù đang thu thập thông tin đăng nhập từ cơ sở hạ tầng mạng bị xâm phạm của khách hàng để thực hiện các cuộc tấn công tiếp theo.

Toàn bộ cuộc tấn công diễn ra như sau:

    Xâm nhập thiết bị biên mạng của khách hàng được lưu trữ trên AWS.
    Tận dụng khả năng thu thập gói dữ liệu gốc
    Thu thập thông tin xác thực từ lưu lượng truy cập bị chặn.
    Phát lại thông tin đăng nhập nhằm tấn công các dịch vụ và cơ sở hạ tầng trực tuyến của các tổ chức nạn nhân.
    Thiết lập quyền truy cập liên tục cho việc di chuyển ngang

Các hoạt động đánh cắp thông tin xác thực đã nhắm mục tiêu vào các nhà cung cấp năng lượng, công nghệ/dịch vụ đám mây và dịch vụ viễn thông trên khắp Bắc Mỹ, Tây và Đông Âu, và Trung Đông.

Ông Moses nhận định: "Việc nhắm mục tiêu này thể hiện sự tập trung bền vững vào chuỗi cung ứng ngành năng lượng, bao gồm cả các nhà điều hành trực tiếp và các nhà cung cấp dịch vụ bên thứ ba có quyền truy cập vào các mạng lưới cơ sở hạ tầng quan trọng."

Điều thú vị là, nhóm xâm nhập này cũng có sự trùng lặp về cơ sở hạ tầng (91.99.25[.]54) với một nhóm khác được Bitdefender theo dõi dưới tên Curly COMrades, được cho là hoạt động với các lợi ích liên quan đến Nga kể từ cuối năm 2023. Điều này làm dấy lên khả năng hai nhóm này có thể đại diện cho các hoạt động bổ sung trong một chiến dịch rộng lớn hơn do GRU thực hiện.

Moses cho biết: "Sự phân chia hoạt động tiềm năng này, trong đó một nhóm tập trung vào việc truy cập mạng và xâm nhập ban đầu trong khi nhóm khác xử lý việc duy trì và né tránh dựa trên máy chủ, phù hợp với mô hình hoạt động của GRU về các nhóm nhỏ chuyên biệt hỗ trợ các mục tiêu chiến dịch rộng lớn hơn."

Amazon cho biết họ đã xác định và thông báo cho các khách hàng bị ảnh hưởng, đồng thời ngăn chặn các hoạt động của các tác nhân đe dọa đang nhắm mục tiêu vào dịch vụ đám mây của mình. Các tổ chức được khuyến nghị nên kiểm tra tất cả các thiết bị biên mạng để phát hiện các tiện ích thu thập gói dữ liệu bất thường, triển khai xác thực mạnh mẽ, giám sát các nỗ lực xác thực từ các vị trí địa lý không mong muốn và theo dõi các cuộc tấn công sao chép thông tin đăng nhập.