Amazon confirma campanha de ciberataques russos contra clientes da AWS em 2025

A Amazon confirmou que atores de ameaça patrocinados pelo Estado russo conduziram, ao longo de 2025, uma campanha contínua de ciberataques contra clientes com infraestruturas alojadas na Amazon Web Services (AWS), explorando dispositivos de rede de edge mal configurados.

Segundo a unidade de Threat Intelligence da Amazon, o grupo Sandworm, associado à agência de inteligência militar russa GRU, concentrou-se em ambientes AWS utilizados por organizações do setor energético e por empresas com infraestruturas de rede alojadas na loud. A campanha é descrita como parte de uma operação que se prolonga há vários anos.

De acordo com CJ Moses, CISO da Amazon Integrated Security, os cibercriminosos russo estão a concentrar os seus ataques em ambientes AWS em “dispositivos de edge de rede de clientes que parecem estar mal configurados, [os quais] se tornam o principal vetor de acesso inicial. Esta adaptação tática permite os mesmos resultados operacionais, recolha de credenciais e movimentação lateral para os serviços e infraestruturas online das organizações vítimas, ao mesmo tempo que reduz a exposição e o gasto de recursos do agente criminoso”.

A Amazon sublinha que os incidentes não resultam de vulnerabilidades na tecnologia da AWS, mas sim de falhas de configuração do lado dos clientes. De acordo com a empresa, não existe qualquer patch da AWS a aplicar, uma vez que os atacantes estão a explorar dispositivos de rede geridos pelos próprios clientes.

A atividade do grupo Sandworm contra infraestruturas críticas tem sido observada desde, pelo menos, 2021. Em campanhas anteriores, os atacantes exploraram dispositivos WatchGuard e, em 2024, vulnerabilidades associadas a ambientes Veeam, mantendo sempre o foco em sistemas mal configurados. Em 2025, a estratégia evoluiu para um ataque sistemático a dispositivos de edge expostos.

Entre os alvos recorrentes estão empresas do setor energético em países ocidentais, fornecedores de infraestruturas críticas na América do Norte e Europa, bem como organizações com infraestruturas de rede alojadas na cloud. Os recursos visados incluem routers empresariais, gateways VPN, gateways de acesso remoto, appliances de gestão de rede e sistemas de gestão de projetos baseados na cloud.

A Amazon indica que notificou os clientes afetados e que, desde a identificação da atividade maliciosa, conseguiu interromper operações ativas do grupo e reduzir a superfície de ataque disponível. A empresa recomenda que, ao longo de 2026, as organizações reforcem a segurança dos seus dispositivos de edge e implementem monitorização ativa para detetar reutilização de credenciais.