Amazon Ganggu Operasi Peretas GRU Rusia yang Menyerang Perangkat Edge Jaringan

Tim Amazon Threat Intelligence berhasil menghentikan operasi aktif yang dikaitkan dengan peretas militer Rusia (GRU) yang menargetkan infrastruktur cloud pelanggan, terutama sektor energi di Barat. Aktivitas ini telah berlangsung sejak 2021, dengan pola serangan yang berevolusi dari eksploitasi kerentanan menuju pemanfaatan perangkat edge jaringan yang salah konfigurasi.

Evolusi Taktik Serangan

• Hingga 2024, kampanye GRU mengeksploitasi kerentanan di WatchGuard, Confluence, dan Veeam sebagai vektor akses awal.
• Pada 2025, fokus bergeser ke perangkat jaringan pelanggan yang salah konfigurasi, seperti:
  • Router enterprise
  • VPN gateway
  • Network management appliances
  • Platform kolaborasi
  • Solusi manajemen proyek berbasis cloud

Menurut CJ Moses, CISO Amazon Integrated Security, menargetkan perangkat dengan antarmuka manajemen terbuka adalah cara cepat untuk mendapatkan akses persisten ke jaringan kritis dan mencuri kredensial.

Tujuan Operasi

Meski taktik berubah, tujuan GRU tetap sama:

• Mencuri kredensial
• Bergerak lateral di jaringan korban
• Melakukan operasi dengan eksposur minimal dan sumber daya terbatas

Amazon menilai dengan tingkat keyakinan tinggi bahwa serangan ini terkait dengan kelompok Sandworm (APT44/Seashell Blizzard) dan Curly COMrades, subklaster GRU yang diduga menangani aktivitas pasca-kompromi.

Mekanisme dan Dampak

• Bukti menunjukkan adanya packet capturing pasif dan intersepsi lalu lintas untuk mencuri kredensial.
• Perangkat yang dikompromi adalah appliance jaringan yang dikelola pelanggan di AWS EC2, bukan kerentanan pada layanan AWS itu sendiri.
• Setelah serangan terdeteksi, Amazon segera:
  • Melindungi instance EC2 yang terdampak
  • Memberi tahu pelanggan
  • Berbagi intelijen dengan vendor dan mitra industri

Rekomendasi Amazon

Amazon menyarankan langkah prioritas untuk tahun depan:

• Audit perangkat jaringan secara rutin
• Pantau aktivitas credential replay
• Awasi akses ke portal administratif
• Di lingkungan AWS:
  • Isolasi antarmuka manajemen
  • Batasi security groups
  • Aktifkan CloudTrail, GuardDuty, dan VPC Flow Logs

Amazon juga merilis daftar IP yang digunakan peretas, namun memperingatkan agar tidak langsung diblokir tanpa investigasi kontekstual karena IP tersebut berasal dari server sah yang dikompromi untuk memproksi lalu lintas.