- AWS mengatakan kelompok-kelompok yang terkait dengan GRU Rusia telah menghabiskan waktu bertahun-tahun mengeksploitasi perangkat edge yang salah dikonfigurasi untuk bertahan di dalam infrastruktur penting Barat
- Aktivitas tumpang tindih dengan Curly COMrades, yang peralatannya menyalahgunakan VM Hyper‑V dan Linux untuk persistensi yang tersembunyi
- Amazon mendesak adanya audit mendesak terhadap edge gear, pemeriksaan penggunaan kembali kredensial, dan pemantauan terhadap akses portal admin yang mencurigakan
Selama hampir setengah dekade, pelaku ancaman yang disponsori negara Rusia telah menyalahgunakan kesalahan konfigurasi pada peralatan jaringan, serta berbagai kerentanan, untuk membangun kegigihan dalam organisasi infrastruktur utama di negara-negara barat, demikian peringatan para ahli.
Dalam laporan ancaman baru (vA Daftar), CJ Moses, Kepala Petugas Keamanan Informasi (CISO) di Amazon Keamanan Terpadu, menyoroti skala kampanye yang telah berlangsung selama beberapa tahun.
“Kampanye ini menunjukkan fokus berkelanjutan pada infrastruktur penting di Barat, khususnya sektor energi, yang beroperasi mulai tahun 2021 hingga saat ini,” kata Moses.
Bersembunyi di depan mata
Dalam sebagian besar kasus, pelaku ancamanlah yang mengawasi router perusahaankonsentrator VPN, gateway akses jarak jauh, dan peralatan manajemen jaringan.
Meskipun mereka telah menyalahgunakan berbagai kerentanan, termasuk banyak kelemahan zero-day, mereka terutama berfokus pada penyalahgunaan kesalahan konfigurasi. Hal ini, menurut Moses, karena penyalahgunaan kesalahan konfigurasi akan meninggalkan dampak yang jauh lebih kecil sehingga lebih sulit dikenali dan dicegah.
Beberapa perangkat edge yang menjadi target dihosting sebagai peralatan virtual di AWS, lebih lanjut laporan tersebut menyatakan, menambahkan bahwa perusahaan sedang bekerja keras untuk “terus mengganggu” kampanye segera setelah aktivitas berbahaya terlihat.
Mencoba mengaitkan kampanye ini dengan pelaku ancaman tertentu ternyata cukup menantang, namun AWS memiliki alasan untuk meyakini bahwa ini adalah kampanye Direktorat Intelijen Utama (GRU) yang lebih luas, yang melibatkan banyak kelompok.
Salah satu entitas yang dikaitkan dengan serangan tersebut adalah Curly COMrades, sebuah kelompok yang antara lain menyembunyikan identitas mereka. perangkat lunak perusak di VM berbasis Linux yang diterapkan pada perangkat Windows.
Pada bulan November tahun ini, peneliti keamanan dari Pembela Bit melaporkan Curly COMrades menjalankan perintah jarak jauh untuk mengaktifkan microsoft-Fitur virtualisasi hyper-v dan nonaktifkan antarmuka manajemennya. Kemudian, mereka menggunakan fitur tersebut untuk mengunduh VM ringan berbasis Alpine Linux yang berisi beberapa implan malware.
“Memasuki tahun 2026, organisasi harus memprioritaskan pengamanan perangkat tepi jaringan mereka dan memantau serangan replay kredensial untuk mempertahankan diri dari ancaman yang terus-menerus ini,” tutup Moses.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
