【安全资讯】亚马逊安全主管指控俄罗斯GRU长期针对西方关键基础设施发动网络攻击

概要：

亚马逊安全主管近日披露，俄罗斯军事情报总局（GRU）自2021年以来，持续针对西方能源、电信及科技供应商发动了一场复杂的网络间谍活动。该活动通过利用配置不当的网络边缘设备及已知漏洞，窃取凭证并建立持久访问权限，对关键基础设施安全构成严重威胁。

主要内容：

根据亚马逊首席信息安全官CJ Moses发布的威胁报告，GRU的攻击活动主要针对托管在AWS上的配置不当设备，如企业路由器、VPN集中器和远程访问网关。攻击者利用包括WatchGuard防火墙中的CVE-2022-26318、Confluence的CVE-2021-26084和CVE-2023-22518，以及Veeam的CVE-2023-27532在内的多个关键漏洞进行初始入侵。

入侵成功后，攻击者会在受害者网络中建立持久连接，访问运行网络设备软件的受感染EC2实例。值得注意的是，攻击策略近年来有所演变，从利用高知名度漏洞转向更多地利用配置错误，这降低了其行动被检测的风险。

亚马逊观察到攻击者还进行了系统的凭证重放攻击，试图使用窃取的凭证访问受害者的在线服务。证据表明，网络间谍可能通过数据包捕获和流量分析作为主要的凭证收集方法。此次活动的部分基础设施与安全公司Bitdefender追踪的Curly COMrades组织存在重叠。

亚马逊建议相关组织立即采取优先行动，包括进行网络边缘设备审计、审查所有身份验证日志中网络设备管理接口与在线服务之间的凭证重用情况，并监控来自意外源IP对设备管理门户的交互式会话访问。