俄駭客Sandworm鎖定西方國家能源與雲端基礎設施，透過邊緣設備配置不當發動攻擊

受到俄羅斯總情報局（GRU）指揮的國家級駭客，長年鎖定西方國家發動網路攻擊，最常見的入侵受害組織的管道，就是利用已經公布、但企業組織尚未修補資安漏洞而得逞，不過，這樣的態勢已經開始出現變化。

Amazon威脅情報團隊持續追蹤俄羅斯駭客組織Sandworm對西方國家的關鍵基礎設施活動，他們發現今年對方的攻擊戰術出現重大的變化，過往這些駭客偏好利用資安漏洞來入侵受害組織，但他們現在明顯傾向針對邊緣裝置配置不當的情況下手，原因是這麼做能減少攻擊者曝光的機率，並降低所需使用的資源，同時達到相同的攻擊目的，以及收集各式憑證、在受害組織進行橫向移動。對此，AWS呼籲企業組織應優先保護邊緣裝置，監控憑證重放攻擊的活動，來因應相關威脅。

這波攻擊行動從2021年開始，駭客特別偏好針對西方國家的能源機構，但也會攻擊北美與歐洲的關鍵基礎設施供應商、經營雲端代管網路基礎設施的企業組織。他們尋找下手的目標，包含企業的路由基礎設施、VPN集中器與遠端存取閘道、網路設備管理平臺、協作與維基（Wiki）平臺，以及採用雲端為基礎的專案管理系統。

Sandworm鎖定配置錯誤及管理介面能從網路直接存取的裝置下手，相關手法最早在2022年就已出現，不過AWS強調，駭客在今年特別專注運用這種策略，並減少對於漏洞利用（包含已知和零時差漏洞）的投資。AWS指出，相較之下，漏洞利用容易被偵測，使得攻擊活動面臨曝光的風險。

Sandworm活動的確很隱匿，AWS表示並未直接觀察到相關活動，但根據多種跡象研判，Sandworm可能透過封包截取和流量分析來收集憑證，例如：透過裝置被入侵與使用者試圖進行身分驗證的時間差，攻擊者從特定服務收集憑證；再者，他們使用受害組織的憑證存取線上服務，代表相關憑證之所以取得，可能是因為攔截使用者身分驗證的流量。

此外，受害組織在AWS雲端環境建置的基礎設施，也出現遭到入侵的跡象，Sandworm透過用戶配置錯誤的裝置，入侵EC2執行個體（Instance），並建立持久連線，而這些EC2的用途，就是執行企業的網路設備軟體。

值得留意的是，Sandworm除直接嘗試入侵受害企業組織的基礎設施，也有系統性攻擊他們使用的線上服務的情況，駭客進行憑證重放攻擊來達到目的，他們入侵由AWS代管的邊緣設備，並試圖利用與受害組織網域有關的憑證，對特定線上服務進行身分驗證，不過並未成功。

針對Sandworm使用的基礎設施，AWS指出與防毒廠商Bitdefender揭露的另一組人馬Curly COMrades有所交集，很可能是廣泛的GRU網路攻擊之間的互補：由Sandworm建立初期的存取管道，然後交由Curly COMrades於虛擬化環境部署惡意軟體，來迴避EDR偵測。回顧Sandworm的攻擊行動，資安公司賽門鐵克發現他們入侵大型商業服務公司與政府機關；今年4月，挪威水壩閘門控制系統遭到入侵，傳出攻擊者的身分就是Sandworm。