L’équipe de renseignement sur les menaces d’Amazon a révélé les détails d’une campagne menée par l’État russe pendant des années, ciblant les infrastructures critiques occidentales entre 2021 et 2025.

La campagne visait notamment des organisations du secteur énergétique dans les pays occidentaux, des fournisseurs d’infrastructures critiques en Amérique du Nord et en Europe, ainsi que des entités disposant d’infrastructures réseau hébergées dans le cloud. Elle a été attribuée avec un haut degré de certitude à la Direction principale du renseignement russe (GRU), en raison de similitudes d’infrastructures avec celles d’APT44 , également connu sous les noms de FROZENBARENTS, Sandworm, Seashell Blizzard et Voodoo Bear.

Cette activité se distingue par l’utilisation, comme vecteurs d’accès initiaux, de périphériques réseau clients mal configurés avec des interfaces de gestion exposées, alors que l’exploitation des vulnérabilités N-day et zero-day a diminué au cours de la période, ce qui indique un changement dans les attaques visant les infrastructures critiques, a déclaré le géant technologique.

« Cette adaptation tactique permet d’obtenir les mêmes résultats opérationnels, la collecte d’identifiants et le déplacement latéral vers les services et l’infrastructure en ligne des organisations victimes, tout en réduisant l’exposition et les dépenses en ressources de l’acteur », a déclaré CJ Moses, responsable de la sécurité de l’information (CISO) d’Amazon Integrated Security.

Il a été constaté que ces attaques exploitaient les vulnérabilités et tactiques suivantes sur une période de cinq ans :

• 2021-2022 – Exploitation de la faille WatchGuard Firebox et XTM ( CVE-2022-26318 ) et ciblage des périphériques réseau de périphérie mal configurés
• 2022-2023 – Exploitation des failles d’Atlassian Confluence ( CVE-2021-26084 et CVE-2023-22518 ) et ciblage continu des périphériques réseau de périphérie mal configurés
• 2024 – Exploitation de la faille Veeam ( CVE-2023-27532 ) et ciblage continu des périphériques réseau de périphérie mal configurés
• 2025 – Ciblage continu des périphériques de réseau de périphérie mal configurés

D’après Amazon, l’activité d’intrusion a ciblé les routeurs d’entreprise et l’infrastructure de routage, les concentrateurs VPN et les passerelles d’accès à distance, les appareils de gestion de réseau, les plateformes de collaboration et wiki, ainsi que les systèmes de gestion de projet basés sur le cloud.

Ces efforts visent vraisemblablement à faciliter la collecte massive d’identifiants, compte tenu de la capacité des acteurs malveillants à se positionner stratégiquement en périphérie du réseau pour intercepter les informations sensibles en transit. Les données de télémétrie ont également révélé ce qui a été décrit comme des tentatives coordonnées ciblant des périphériques réseau clients mal configurés et hébergés sur l’infrastructure Amazon Web Services (AWS).

« L’analyse des connexions réseau montre que des adresses IP contrôlées par des acteurs malveillants établissent des connexions persistantes avec des instances EC2 compromises exécutant le logiciel des appliances réseau des clients », a déclaré Moses. « L’analyse a révélé des connexions persistantes compatibles avec un accès interactif et une récupération de données sur plusieurs instances affectées. »

Par ailleurs, Amazon a indiqué avoir observé des attaques par rejeu d’identifiants contre les services en ligne des organisations victimes, dans le cadre de tentatives d’infiltration plus profonde au sein des réseaux ciblés. Bien que ces tentatives soient considérées comme infructueuses, elles confortent l’hypothèse susmentionnée selon laquelle l’attaquant récupère des identifiants sur l’infrastructure réseau compromise des clients afin de mener des attaques ultérieures.

L’attaque se déroule comme suit :

• Compromettre le périphérique de périphérie du réseau client hébergé sur AWS
• Exploiter les capacités natives de capture de paquets
• Récupérer les identifiants à partir du trafic intercepté
• Réutiliser les identifiants contre les services en ligne et l’infrastructure des organisations victimes.
• Établir un accès permanent pour les mouvements latéraux

Les opérations de réutilisation des identifiants ont ciblé des fournisseurs de services énergétiques, technologiques/cloud et de télécommunications en Amérique du Nord, en Europe occidentale et orientale et au Moyen-Orient.

« Ce ciblage témoigne d’une attention soutenue portée à la chaîne d’approvisionnement du secteur énergétique, y compris aux opérateurs directs et aux prestataires de services tiers ayant accès aux réseaux d’infrastructures critiques », a souligné Moses.

Il est intéressant de noter que l’ensemble d’intrusions partage également des chevauchements d’infrastructure (91.99.25[.]54) avec un autre cluster suivi par Bitdefender sous le nom de Curly COMrades , qui serait en train d’opérer avec des intérêts alignés sur ceux de la Russie depuis fin 2023. Cela a soulevé la possibilité que les deux clusters puissent représenter des opérations complémentaires au sein d’une campagne plus large menée par le GRU.

« Cette division opérationnelle potentielle, où un groupe se concentre sur l’accès au réseau et la compromission initiale tandis qu’un autre gère la persistance et l’évasion basées sur l’hôte, correspond aux modèles opérationnels du GRU de sous-groupes spécialisés soutenant des objectifs de campagne plus larges », a déclaré Moses.

Amazon a déclaré avoir identifié et informé les clients touchés, et avoir perturbé les opérations de cybercriminels visant ses services cloud. Cependant, l’entreprise n’a pas précisé le nombre d’attaques recensées dans le cadre de cette campagne, ni indiqué si le rythme des opérations avait évolué depuis la première vague d’attaques en 2021.

Il est recommandé aux organisations d’auditer tous les périphériques réseau afin de détecter les utilitaires de capture de paquets inattendus, de mettre en œuvre une authentification forte, de surveiller les tentatives d’authentification provenant de zones géographiques inattendues et de suivre de près les attaques par rejeu d’identifiants.