Tim Amazon Threat Intelligence telah mengganggu operasi aktif yang dikaitkan dengan peretas yang bekerja untuk badan intelijen militer asing Rusia, GRU, yang menargetkan infrastruktur cloud pelanggan.
Penyedia layanan cloud mengamati fokus pada infrastruktur penting di Barat, khususnya sektor energi, dalam aktivitas yang dimulai pada tahun 2021.
Seiring berjalannya waktu, pelaku ancaman beralih dari mengeksploitasi kerentanan (zero-day dan kerentanan yang diketahui) ke memanfaatkan perangkat edge yang salah dikonfigurasi untuk akses awal.
Lebih sedikit kerentanan yang dieksploitasi
CJ Moses, CISO dari Amazon Integrated Security, mencatat bahwa hingga tahun 2024, kampanye “bertahun-tahun” mengeksploitasi berbagai kerentanan di WatchGuard, Confluence, dan Veeam sebagai vektor akses awal utama dan menargetkan perangkat yang salah dikonfigurasi.
Namun tahun ini, pelaku ancaman tidak terlalu mengandalkan kerentanan dan lebih banyak menargetkan perangkat edge jaringan pelanggan yang salah dikonfigurasi, seperti router perusahaan, gateway VPN, peralatan manajemen jaringan, platform kolaborasi, dan solusi manajemen proyek berbasis cloud.
“Menargetkan ‘hasil yang mudah’ dari perangkat pelanggan yang kemungkinan salah dikonfigurasi dengan antarmuka manajemen yang terbuka akan mencapai tujuan strategis yang sama, yaitu akses terus-menerus ke jaringan infrastruktur penting dan pengumpulan kredensial untuk mengakses layanan online organisasi korban,” Musa menjelaskan.
“Pergeseran tempo operasional pelaku ancaman menunjukkan evolusi yang memprihatinkan: meskipun kesalahan konfigurasi penargetan pelanggan telah berlangsung setidaknya sejak tahun 2022, pelaku ancaman tetap mempertahankan fokus pada aktivitas ini pada tahun 2025 sekaligus mengurangi investasi dalam eksploitasi zero-day dan N-day,” tambahnya.
Namun, evolusi taktis tersebut tidak mencerminkan perubahan apa pun dalam tujuan operasional kelompok tersebut: mencuri kredensial dan bergerak ke samping dalam jaringan korban dengan paparan sesedikit mungkin dan sumber daya sesedikit mungkin.
Berdasarkan pola penargetan dan tumpang tindih infrastruktur yang terlihat pada serangan dari Sandworm (APT44, Seashell Blizzard) dan Curly COMrades, Amazon menilai dengan keyakinan tinggi bahwa serangan yang diamati dilakukan oleh peretas yang bekerja untuk GRU Rusia.
Amazon percaya bahwa para peretas Curly COMRade, pertama kali dilaporkan oleh Bitdefendermungkin ditugaskan aktivitas pasca-kompromi dalam kampanye GRU yang lebih luas yang melibatkan beberapa subkluster khusus.
Menyebar di jaringan
Meskipun Amazon tidak secara langsung mengamati mekanisme ekstraksi, bukti dalam bentuk penundaan antara penyusupan perangkat dan pemanfaatan kredensial, serta penyalahgunaan kredensial organisasi, menunjukkan penangkapan paket pasif dan intersepsi lalu lintas.
Perangkat yang disusupi adalah peralatan jaringan yang dikelola pelanggan yang dihosting di instans AWS EC2, dan Amazon mencatat bahwa serangan tersebut tidak memanfaatkan kelemahan pada layanan AWS itu sendiri.
Setelah menemukan serangan tersebut, Amazon segera mengambil tindakan untuk melindungi instans EC2 yang disusupi dan memberi tahu pelanggan yang terkena dampak mengenai pelanggaran tersebut. Selain itu, mereka berbagi informasi intelijen dengan vendor dan mitra industri yang terkena dampak.
“Melalui upaya terkoordinasi, sejak penemuan aktivitas ini, kami telah mengganggu operasi pelaku ancaman aktif dan mengurangi permukaan serangan yang tersedia untuk subkluster aktivitas ancaman ini,” kata Amazon.
Amazon telah membagikan alamat IP yang melanggar dalam laporannya tetapi memperingatkan untuk tidak memblokirnya tanpa terlebih dahulu melakukan penyelidikan kontekstual karena ini adalah server sah yang disusupi oleh pelaku ancaman untuk mem-proxy lalu lintasnya.
Perusahaan selanjutnya merekomendasikan serangkaian “tindakan prioritas segera” untuk tahun depan, seperti mengaudit perangkat jaringan, memantau aktivitas pemutaran ulang kredensial, dan memantau akses ke portal administratif.
Khususnya di lingkungan AWS, disarankan untuk mengisolasi antarmuka manajemen, membatasi grup keamanan, dan mengaktifkan CloudTrail, GuardDuty, dan VPC Flow Logs.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
