A equipe de threat intelligence da Amazon revelou detalhes de uma campanha patrocinada pelo Estado russo que durou vários anos, entre 2021 e 2025, e teve como alvo infraestruturas críticas no Ocidente.
Os alvos incluíram organizações do setor energético em países ocidentais, fornecedores de infraestrutura crítica na América do Norte e Europa, além de entidades com infraestrutura de rede hospedada na nuvem.
As atividades foram atribuídas com alta confiança ao grupo APT44, ligado à GRU e conhecido por diversos codinomes, como FROZENBARENTS, Sandworm, Seashell Blizzard e Voodoo Bear.
Um aspecto marcante dessa campanha foi a mudança nas táticas de acesso inicial.
Ao longo do período, houve redução no uso de exploits para vulnerabilidades conhecidas (N-day) e zero-day, com aumento no comprometimento de dispositivos de borda de redes de clientes mal configurados, que apresentavam interfaces de gerenciamento expostas.
Essa adaptação tática, segundo a Amazon, permite alcançar os mesmos objetivos operacionais — captura de credenciais e movimento lateral dentro das redes das vítimas — com menor exposição e menor gasto de recursos pelos invasores, conforme explicou CJ Moses, Chief Information Security Officer (CISO) da Amazon Integrated Security.
Durante esses cinco anos, os ataques exploraram diferentes vulnerabilidades e mantiveram o foco em dispositivos de borda mal configurados:
- 2021–2022: Exploração de falha nos dispositivos WatchGuard Firebox e XTM (
CVE-2022-26318
);
- 2022–2023: Exploração de vulnerabilidades no Atlassian Confluence (
CVE-2021-26084
e
CVE-2023-22518
);
- 2024: Exploração de falha no Veeam (
CVE-2023-27532
);
- 2025: Foco contínuo em dispositivos de borda mal configurados.
As intrusões visaram especificamente roteadores corporativos, infraestrutura de roteamento, concentradores VPN, gateways de acesso remoto, appliances de gerenciamento de rede, plataformas de colaboração e wikis, além de sistemas de gerenciamento de projetos baseados na nuvem.
Esse modus operandi indica uma estratégia voltada à captura em larga escala de credenciais, aproveitando a posição estratégica dos invasores na borda da rede para interceptar informações sensíveis em trânsito.
Dados de telemetria da Amazon também revelaram tentativas coordenadas contra dispositivos de borda mal configurados hospedados na infraestrutura da Amazon Web Services (AWS).
De acordo com CJ Moses, “a análise das conexões de rede mostra que endereços IP controlados pelo ator malicioso estabeleceram conexões persistentes com instâncias EC2 comprometidas, que operam softwares de appliances de rede dos clientes.
Essas conexões indicam acesso interativo e exfiltração de dados em múltiplas instâncias afetadas.”
Além disso, foram observados ataques de replay de credenciais contra serviços online das organizações vítimas, numa tentativa de ampliar o controle sobre as redes comprometidas.
Embora essas tentativas não tenham sido bem-sucedidas, confirmam que o adversário coleta credenciais em dispositivos comprometidos para ataques subsequentes.
O ciclo completo do ataque ocorre da seguinte forma:
1. Comprometimento do dispositivo de borda da rede do cliente hospedado na AWS;
2. Uso da funcionalidade nativa de captura de pacotes;
3. Coleta de credenciais do tráfego interceptado;
4. Replay dessas credenciais nos serviços online e na infraestrutura da vítima;
5. Estabelecimento de acesso persistente para permitir movimentação lateral.
Os ataques focaram setores como energia, tecnologia, serviços de nuvem e telecomunicações na América do Norte, Europa Ocidental e Oriental, e Oriente Médio.
Moses destacou que a campanha manteve atenção constante na cadeia de fornecimento do setor energético, incluindo operadores diretos e fornecedores terceirizados com acesso a redes críticas.
Outro ponto relevante é que essa campanha compartilha infraestrutura com outro grupo monitorado pela Bitdefender, denominado Curly COMrades, que atua sob interesses alinhados à Rússia desde o final de 2023.
Isso sugere que ambos os grupos operam de forma complementar dentro de uma operação mais ampla da GRU, em que um se concentra no acesso inicial à rede e o outro na persistência e evasão dentro dos sistemas comprometidos.
A Amazon afirma ter identificado e notificado os clientes afetados, além de interromper operações ativas dos invasores que miravam seus serviços na nuvem.
A recomendação para as organizações é auditar todos os dispositivos de borda para identificar eventuais utilitários não autorizados de captura de pacotes, implementar autenticação forte, monitorar tentativas de login provenientes de localidades geográficas inesperadas e acompanhar atentamente ataques de replay de credenciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...