Amazon telah mengeluarkan peringatan penting mengenai pergeseran taktik yang dilakukan oleh Sandworm, kelompok ancaman siber yang terkait dengan Direktorat Intelijen Utama (GRU) Rusia. Kelompok yang juga dikenal sebagai APT44 dan Seashell Blizzard ini, telah menargetkan infrastruktur kritis berbasis Barat, dengan fokus khusus pada sektor energi, sebagai bagian dari kampanye berkelanjutan yang telah berlangsung sejak tahun 2021. Namun, laporan terbaru dari AmazonĀ mengungkapkan bahwa Sandworm telah menyederhanakan operasinya awal tahun ini, beralih dari eksploitasi kerentanan ke fokus pada perangkat tepi jaringan (network edge devices) yang salah konfigurasi yang di-hosting di Amazon Web Services (AWS) sebagai vektor akses awal utama.
Pergeseran strategis ini, menurut CJ Moses, Chief Information Security Officer Amazon Integrated Security, memungkinkan para penyerang untuk mencapai tujuan mereka dengan biaya yang lebih rendah dan risiko deteksi yang berkurang secara signifikan. Sebelumnya, Sandworm mengandalkan eksploitasi kerentanan yang dikenal (N-day) atau bahkan belum diketahui (zero-day), yang lebih mudah terdeteksi dan memerlukan investasi lebih besar. Dengan menargetkan konfigurasi perangkat yang salah, mereka dapat memanfaatkan kelalaian pelanggan daripada kelemahan infrastruktur AWS itu sendiri. Moses menegaskan bahwa kompromi perangkat tepi jaringan yang di-hosting di AWS ini bukan disebabkan oleh kelemahan dalam infrastruktur Amazon, melainkan karena pengaturan perangkat yang tidak tepat dari pihak pelanggan.
Lingkup target Sandworm sangat luas dan mencakup berbagai organisasi penting di Barat. Selain sektor energi yang meliputi utilitas listrik, penyedia energi, dan penyedia layanan keamanan terkelola (MSSP) yang berspesialisasi dalam industri tersebut, kelompok ini juga menyasar platform kolaborasi, repositori kode sumber, organisasi dengan infrastruktur jaringan berbasis cloud, penyedia infrastruktur kritis di Amerika Utara dan Eropa, serta penyedia telekomunikasi di berbagai wilayah. Fokus utama mereka tetap pada entitas yang memiliki peran vital dalam operasional dan keamanan negara-negara Barat.
Metodologi serangan dengan taktik baru ini biasanya dimulai dengan kompromi perangkat tepi jaringan pelanggan yang di-hosting di AWS. Setelah mendapatkan akses awal, para penyerang berupaya menangkap data yang melintasi jaringan untuk mencuri kredensial. Kredensial yang dicuri ini kemudian digunakan kembali untuk mengakses layanan dan infrastruktur lain milik organisasi korban, memungkinkan Sandworm untuk mempertahankan akses dan memperluas jangkauan serangan mereka. Perangkat yang menjadi target meliputi router perusahaan dan infrastruktur routing, jaringan pribadi virtual (VPN) untuk organisasi besar, gateway akses jarak jauh, dan peralatan manajemen jaringan.
Sebelum pergeseran taktik ini, dari tahun 2021 hingga 2024, kampanye Sandworm sangat bergantung pada eksploitasi kerentanan. Para peneliti mencatat penggunaan kerentanan seperti CVE-2022-26318 yang memengaruhi WatchGuard, CVE-2021-26084 dan CVE-2023-22518 yang memengaruhi Confluence, serta CVE-2023-27532 yang memengaruhi Veeam. Namun, fokus penargetan beralih ke perangkat tepi jaringan yang salah konfigurasi pada tahun ini, sebuah langkah yang memungkinkan para penyerang mencapai tujuan strategis yang sama dengan biaya operasional yang jauh lebih rendah dan risiko yang lebih kecil untuk mengungkap operasi mereka.
Menanggapi ancaman ini, Amazon telah mengambil langkah-langkah proaktif. Perusahaan telah memberi tahu pelanggan yang terkena dampak intrusi, melakukan remediasi pada instans EC2 yang terkompromi, dan membagikan intelijen ancaman dengan mitra serta vendor yang terkena dampak untuk membantu penyelidikan lebih lanjut. Upaya ini menunjukkan komitmen Amazon untuk melindungi pelanggannya dan memperkuat ekosistem keamanan siber secara keseluruhan dalam menghadapi ancaman yang terus berkembang.
Sandworm sendiri adalah salah satu kelompok ancaman yang disponsori negara paling terkenal dalam dekade terakhir. Kelompok ini dikenal karena menargetkan pemerintah, pertahanan, transportasi, energi, media, dan organisasi masyarakat sipil di negara-negara tetangga Rusia. Mereka juga berulang kali menargetkan sistem dan institusi pemilihan umum Barat, termasuk di negara-negara anggota NATO. Salah satu catatan paling mencolok adalah keberhasilan mereka dalam tiga kesempatan terpisah menggunakan serangan siber untuk mengganggu distribusi listrik di Ukraina, menunjukkan kapasitas mereka untuk menyebabkan dampak dunia nyata yang signifikan.
Sumber: Cyberscoop.com