A ciberguerra continua a ser uma realidade silenciosa, mas com impactos potencialmente devastadores. A equipa de Threat Intelligence da Amazon anunciou ter interrompido operações ativas atribuídas a piratas informáticos que trabalham para a agência de inteligência militar estrangeira da Rússia, o GRU. O foco destes ataques era claro e preocupante: a infraestrutura de cloud de clientes ligados a infraestruturas críticas ocidentais, com especial incidência no setor da energia.
Esta atividade maliciosa, que a gigante tecnológica monitoriza desde 2021, sofreu uma evolução tática interessante. Ao longo do tempo, os atacantes deixaram de se focar exclusivamente na exploração de vulnerabilidades de software para se aproveitarem de erros humanos e configurações incorretas em dispositivos de rede.
Mudança de tática: do complexo ao erro básico
A análise da tecnológica revela uma mudança comportamental significativa por parte dos atacantes nos últimos anos. CJ Moses, CISO da Amazon Integrated Security, nota que, até 2024, estas campanhas dependiam fortemente da exploração de múltiplas vulnerabilidades em softwares como WatchGuard, Confluence e Veeam para obter acesso inicial. No entanto, o cenário mudou recentemente.
Em 2025, o grupo reduziu o investimento em ataques complexos (como zero-days) e virou a sua atenção para o que Moses descreve como "fruta baixa": dispositivos de extremidade de rede mal configurados pelos clientes. Isto inclui routers empresariais, gateways de VPN, aparelhos de gestão de rede e plataformas de colaboração.
O objetivo desta estratégia é pragmático. Ao atacarem interfaces de gestão expostas publicamente, os piratas conseguem o mesmo resultado estratégico — acesso persistente a redes críticas e recolha de credenciais — mas com menor esforço e exposição. Embora a tática tenha mudado, a missão mantém-se: roubar credenciais e mover-se lateralmente na rede das vítimas consumindo o mínimo de recursos possível.
Atribuição ao grupo Sandworm e medidas de proteção
Com base nos padrões de ataque e na infraestrutura utilizada, a tecnológica avalia com elevada confiança que estas operações foram executadas por elementos ligados ao GRU, especificamente associados aos grupos conhecidos como Sandworm (ou APT44) e Curly COMrades. É importante notar que os dispositivos comprometidos eram aparelhos de rede geridos pelos clientes e alojados em instâncias AWS EC2; a empresa sublinha que os ataques não exploraram quaisquer falhas nos serviços da própria AWS.
Após a descoberta, foram tomadas medidas imediatas para proteger as instâncias afetadas e notificar os clientes sobre a violação de segurança. Segundo o relatório detalhado partilhado pela Amazon no seu blog oficial, a empresa partilhou também informações de inteligência com outros fornecedores e parceiros da indústria para mitigar a ameaça global.
Para o próximo ano, a recomendação é clara: as organizações devem auditar rigorosamente os seus dispositivos de rede, monitorizar o acesso a portais administrativos e isolar interfaces de gestão. Em ambientes AWS, a ativação de ferramentas como o CloudTrail e o GuardDuty torna-se essencial para detetar este tipo de intrusão silenciosa.
Nenhum comentário
Seja o primeiro!