Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
Un grupo de piratas informáticos vinculado a Rusia ha estado atacando organizaciones de infraestructura crítica utilizando vulnerabilidades en sus dispositivos perimetrales desde al menos 2021, lo que destaca un cambio alarmante hacia la explotación de fallas conocidas en equipos de red comunes, dijo el lunes el equipo de inteligencia de amenazas de Amazon.
“El cambio del actor de amenazas [toward edge devices] representa una evolución preocupante”, Los investigadores de Amazon escribieron en una publicación de blog.. «Si bien el objetivo de la configuración incorrecta del cliente ha estado en curso desde al menos 2022, el actor mantuvo un enfoque sostenido en esta actividad en 2025 al tiempo que redujo la inversión en la explotación de día cero y día N».
Después de comprometer estos dispositivos, los atacantes interceptaron el tráfico de red que contenía credenciales de inicio de sesión y utilizaron esas credenciales para acceder a plataformas en la nube y atrincherarse aún más en los entornos de las víctimas, según el informe.
Los dispositivos perimetrales, incluidos firewalls e interfaces de administración de red, representan una creciente y subestimada fuente de riesgo para las organizaciones. cisco, Redes de Palo Alto, Ivanti y Fortinet han revelado repetidamente vulnerabilidades graves en sus dispositivos perimetrales durante el año pasado. El informe del lunes de Amazon complementa investigaciones anteriores que muestran que China y otros piratas informáticos de estados-nación favorecer los dispositivos de borde como vectores de acceso inicial.
Al atacar dispositivos periféricos con fallas conocidas pero sin parches en lugar de tratar de encontrar y explotar nuevas vulnerabilidades, dijo Amazon, los piratas informáticos vinculados a Rusia redujeron significativamente su carga de trabajo y sus posibilidades de ser descubiertos, manteniendo al mismo tiempo «los mismos resultados operativos, recolección de credenciales y movimiento lateral hacia los servicios e infraestructura en línea de las organizaciones víctimas».
Los investigadores de Amazon vincularon a los piratas informáticos con la agencia de inteligencia militar de Rusia, el GRU, basándose en infraestructuras y objetivos que se superpusieron con la famosa campaña Sandworm de Rusia contra infraestructuras críticas en Ucrania y otros lugares. Los piratas informáticos se dirigieron principalmente a empresas eléctricas, proveedores de servicios gestionados especializados en el sector energético, empresas de telecomunicaciones, plataformas de colaboración en la nube y bases de datos de código fuente. La mayoría de las víctimas se encontraban en América del Norte, Europa y Oriente Medio.
«El objetivo demuestra un enfoque sostenido en la cadena de suministro del sector energético», dijo Amazon, «incluidos tanto los operadores directos como los proveedores de servicios externos con acceso a redes de infraestructura críticas».
Medidas preventivas de ciberdefensa
Para evitar convertirse en la próxima víctima de esta estrategia, dijo Amazon, las organizaciones deben inspeccionar inmediatamente todos sus dispositivos perimetrales en busca de señales de que los atacantes los han comprometido y los están utilizando para interceptar el tráfico de la red. Las empresas también deben aplicar una autenticación sólida, segmentar sus redes, revisar los intentos de inicio de sesión sospechosos y reducir la exposición innecesaria de los dispositivos a Internet.
Amazon alentó a las organizaciones del sector energético a verificar los intentos de inicio de sesión en una lista proporcionada de indicadores de compromiso.
Los usuarios de la plataforma en la nube de Amazon pueden habilitar ciertas funciones para restringir el acceso de los usuarios, buscar vulnerabilidades y registrar actividades sospechosas, dijo la compañía.
Fuente