Megváltozott támadási stratégiák
A GRU-támogatású hekkerek az egyszerű zsákmányra, azaz a rosszul konfigurált eszközökre vadásztak, ahol a menedzsmentfelület nyitva maradt. Így tartós hozzáférést biztosítottak maguknak a kritikus rendszerekhez, illetve értékes hitelesítő adatokat gyűjtöttek, hogy más rendszerekbe is bejussanak a megtámadott szervezeten belül. Ez a stratégia főként 2022-től vált hangsúlyossá, miközben a nulladiknapi és ismert sérülékenységek kihasználására kevesebb energiát fordítottak. A csoport fő célja továbbra is a hitelesítő adatok ellopása, valamint a fertőzött hálózatokon belüli terjeszkedés maradt, lehetőleg minél csendesebben és minimális ráfordítással.
Az Amazon gyors reagálása
A támadások során a hekkerek általában passzív hálózati forgalomfigyelést és adatgyűjtést használtak: a megszerzett adatok alapján többnapos késleltetést is tartottak a rendszer feltörése és az adatok kihasználása között. A kompromittált hálózati eszközök jellemzően AWS EC2-példányokon futottak, és magát az AWS-szolgáltatást nem érte közvetlen támadás. Az Amazon azonnal intézkedett, védelmet nyújtott a feltört példányoknak, értesítette az érintett ügyfeleket, és megosztotta a releváns információkat a beszállítókkal és szakmai partnerekkel. Az IP-címeket ugyan publikálták, de óvatosságra intettek, hiszen ezek olyan legitim szerverek, amelyeken keresztül a támadók a forgalmukat vezették.
Javasolt védekezés és megelőzés
Az Amazon azt tanácsolja, hogy minden szervezet vizsgálja felül hálózati eszközei konfigurációját, figyelje a hitelesítő adatokkal való visszaélést, és kiemelten monitorozza az adminisztrációs felületekhez való hozzáférést. AWS-környezetben ajánlott elszigetelni a menedzsmentfelületeket, szűkíteni a biztonsági csoportokat, valamint engedélyezni a CloudTrail, GuardDuty és VPC Flow Logs szolgáltatásokat is.
