- AWS sagt, dass mit der GRU verbundene russische Gruppen jahrelang falsch konfigurierte Edge-Geräte ausgenutzt haben, um in der westlichen kritischen Infrastruktur zu bestehen
- Die Aktivitäten überschneiden sich mit Curly COMrades, dessen Tools Hyper-V- und Linux-VMs für heimliche Persistenz missbrauchen
- Amazon fordert dringend dringende Prüfungen der Edge-Geräte, Überprüfungen der Wiederverwendung von Anmeldeinformationen und Überwachung auf verdächtige Admin-Portal-Zugriffe
Seit fast einem halben Jahrzehnt missbrauchen staatlich geförderte russische Bedrohungsakteure Fehlkonfigurationen in der Netzwerkausrüstung sowie andere Schwachstellen, um in wichtigen Infrastrukturorganisationen im Westen Einhalt zu gebieten, warnen Experten.
In einem neuen Bedrohungsbericht (VA Das Register), CJ Moses, Chief Information Security Officer (CISO) bei Amazonas Integrated Security verdeutlichte das Ausmaß der Kampagne, die bereits seit mehreren Jahren läuft.
„Die Kampagne zeigt die nachhaltige Fokussierung auf die kritische Infrastruktur des Westens, insbesondere den Energiesektor, mit Aktivitäten von 2021 bis heute“, sagte Moses.
Versteckt sich vor aller Augen
In den meisten Fällen sind es die Bedrohungsakteure Enterprise-RouterVPN-Konzentratoren, Remote Access Gateways und Netzwerkverwaltungsgeräte.
Obwohl sie mehrere Schwachstellen, darunter viele Zero-Day-Schwachstellen, ausgenutzt haben, konzentrieren sie sich in erster Linie auf den Missbrauch von Fehlkonfigurationen. Dies liegt, so argumentiert Moses, daran, dass der Missbrauch von Fehlkonfigurationen einen deutlich geringeren Fußabdruck hinterlässt und daher viel schwieriger zu erkennen und zu verhindern ist.
Einige der angegriffenen Edge-Geräte werden als virtuelle Appliances auf AWS gehostet, heißt es weiter in dem Bericht und fügt hinzu, dass das Unternehmen hart daran arbeitet, die Kampagnen „kontinuierlich zu unterbrechen“, sobald böswillige Aktivitäten entdeckt werden.
Der Versuch, die Kampagne einem bestimmten Bedrohungsakteur zuzuordnen, erwies sich als etwas schwierig, aber AWS hat Grund zu der Annahme, dass es sich um eine umfassendere Kampagne des Main Intelligence Directorate (GRU) handelt, an der mehrere Gruppen beteiligt sind.
Eine der Einheiten, die mit den Angriffen in Verbindung gebracht werden, heißt Curly COMrades, eine Gruppe, die unter anderem ihre Identität verschwiegen hat Schadsoftware in Linux-basierten VMs, die auf Windows-Geräten bereitgestellt werden.
Im November dieses Jahres haben Sicherheitsforscher von Bitdefender berichtete, dass Curly COMrades Remote-Befehle ausführte, um das zu aktivieren Microsoft-hyper-v-Virtualisierungsfunktion und deaktivieren Sie die Verwaltungsschnittstelle. Anschließend nutzten sie die Funktion, um eine leichte, auf Alpine Linux basierende VM herunterzuladen, die mehrere Malware-Implantate enthielt.
„Im Jahr 2026 müssen Unternehmen der Sicherung ihrer Netzwerk-Edge-Geräte und der Überwachung auf Credential-Replay-Angriffe Priorität einräumen, um sich gegen diese anhaltende Bedrohung zu verteidigen“, schloss Moses.
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
