Beobachtungen
Amazon Threat Intelligence berichtet über eine seit Jahren andauernde Angriffskampagne, die sich gegen Betreiber Kritischer Infrastrukturen richtet. Im Verlauf der Kampagne änderten die Angreifer zwischenzeitlich ihre Vorgehensweise. Zuvor verschafften sie sich durch Ausnutzung bekannter Schwachstellen Zugang zu den Zielsystemen.
Mittlerweile nehmen die Angreifer jedoch scheinbar fehlerhaft konfigurierte Netzwerkzugangsknoten ins Visier, um in das Netzwerk ihres Opfers zu gelangen. Ihre Ziele bleiben jedoch dieselben: das Abgreifen von Zugangsdaten und die laterale Bewegung durch das Netzwerk ihres Ziels.
Methoden
Neben der direkten Kompromittierung der Zielsysteme, beobachtete Amazon Threat Intelligence systematische Credential‑Replay‑Angriffe auf die Online‑Dienste der betroffenen Organisationen. In den untersuchten Fällen hat der Angreifer Edge‑Geräte des Kundennetzwerks, die bei AWS gehostet werden, zunächst kompromittiert. Anschließend versuchte er sich mit Anmeldedaten, die zur Domain der Opfer gehören, an deren Online‑Diensten zu authentifizieren.
Zwar blieben diese Versuche erfolglos, jedoch entsteht daraus ein Muster aus Kompromittierung gefolgt von Authentifizierungsversuchen. Amazon kommt daher zur Einschätzung, dass der Angreifer zunächst Anmeldedaten aus der kompromittierten Kunden‑Netzwerkinfrastruktur sammelt. Anschließend verwendet er sie gegen die Online‑Dienste der Zielorganisationen.
Attribution
Amazon Threat Intelligence vermutet hinter den Angriffen den russischen Akteur APT44 bzw. Sandworm, welcher dem russischen Militärgeheimdienst GRU zugeordnet wird. Der Dienstleister begründet dabei seine Attribuierung durch seine festgestellten Überschneidungen in der verwendeten Angreiferinfrastruktur und den Angriffsmustern. APT44 ist bekannt für seine ausgeklügelten Angriffsmethoden. Der Akteur nahm bereits in der Vergangenheit wiederholt Energieerzeuger ins Visier. Die aktuelle Angriffskampagne reicht dabei bis ins Jahr 2021 zurück.
Empfehlungen
Amazon stellt einen vollständigen Bericht sowie Indicators of Compromise (IOCs) zur aktuellen Angriffskampagne zur Verfügung. Wir empfehlen daher allen Stellen, die ins Visier des Angreifers geraten sein könnten, die eigenen Systeme anhand der IOCs auf Betroffenheit zu überprüfen.