Amazon revela campanha cibercriminosa russa contra infraestrutura crítica entre 2021 e 2025

A equipa de inteligência de ameaças da Amazon divulgou detalhes de uma campanha patrocinada pelo Estado russo que se estendeu por cinco anos, entre 2021 e 2025, com ataques dirigidos à infraestrutura crítica ocidental.

A campanha, atribuída com alta confiança à Direção Principal de Inteligência russa (GRU), teve como alvos organizações do setor energético, fornecedores de infraestrutura crítica na América do Norte, Europa e Médio Oriente, assim como entidades com infraestruturas de rede alojadas na cloud.

Durante o período, foram exploradas vulnerabilidades específicas e dispositivos de rede mal configurados, em particular dispositivos na periferia da rede dos clientes com interfaces de gestão expostas. A tática evidenciou uma redução no uso de vulnerabilidades N-day e zero day, apontando para uma adaptação dos atacantes para diminuir a exposição e o consumo de recursos.

“Esta adaptação tática permite os mesmos resultados operacionais, recolha de credenciais e movimento lateral nos serviços e infraestruturas online das vítimas, reduzindo a exposição e o gasto de recursos dos actores”, explicou CJ Moses, Chief Information Security Officer da Amazon Integrated Security.

Ao longo deste período, os ciberataques seguiram um padrão recorrente, combinando a exploração de vulnerabilidades conhecidas com falhas de configuração persistentes. Entre 2021 e 2022 foram exploradas vulnerabilidades nos equipamentos WatchGuard Firebox e XTM (CVE-2022-26318), seguindo-se, em 2022 e 2023, falhas críticas no Atlassian Confluence (nomeadamente as CVE-2021-26084 e CVE-2023-22518). Em 2024, os atacantes passaram a explorar uma vulnerabilidade no Veeam (CVE-2023-27532), enquanto em 2025 se manteve a pressão sobre dispositivos de rede periféricos mal configurados.

Os dispositivos visados incluem routers empresariais, infraestruturas de encaminhamento, concentradores VPN, gateways de acesso remoto, equipamentos de gestão de rede, plataformas de colaboração e sistemas de gestão de projetos baseados na cloud.

Estas ações visam, provavelmente, facilitar a recolha massiva de credenciais, posicionando-se estrategicamente na fronteira da rede para intercetar informação sensível em trânsito. Dados de telemetria revelaram tentativas coordenadas a dispositivos de rede periféricos mal configurados alojados na infraestrutura AWS.

“A análise das ligações de rede mostra endereços IP controlados pelos atacantes a estabelecer conexões persistentes com instâncias EC2 comprometidas que operam software de equipamentos de rede dos clientes”, afirmou CJ Moses, acrescentado que “esta análise revelou acessos persistentes consistentes com interações ativas e recuperação de dados em múltiplas instâncias afetadas”.

A Amazon também identificou ataques de repetição de credenciais contra serviços online das organizações visadas como parte das tentativas de aprofundar o controlo das redes atacadas. Embora considerados sem sucesso, estes ataques reforçam a hipótese de que as credenciais são recolhidas para ataques subsequentes.

O ciclo de ataque descrito envolve o comprometimento do dispositivo de rede periférico do cliente alojado na AWS, utilização de funcionalidades nativas de captura de pacotes, recolha de credenciais intercetadas, ataque de repetição das mesmas para aceder aos serviços da vítima e estabelecimento de acessos persistentes para movimentos laterais.

Os ataques de repetição de credenciais visaram a cadeia de fornecimento do setor energético, serviços tecnológicos e de telecomunicações na América do Norte, Europa ocidental e oriental e Médio Oriente.

Além disso, a infraestrutura utilizada pelos atacantes apresenta sobreposições com um cluster identificado pela Bitdefender como Curly COMrades, ativo desde finais de 2023 e alinhado com interesses russos, o que sugere, por sua vez, operações complementares no âmbito da campanha coordenada da GRU.

“Esta possível divisão operacional, em que um cluster se foca no acesso inicial à rede e outro na persistência e evasão nos sistemas, está alinhada com os padrões operacionais da GRU de subclusters especializados a apoiar objetivos de campanhas mais alargadas”, explicou o responsável.

A Amazon notificou os clientes afetados e interrompeu as operações ativas dos atacantes direcionadas aos seus serviços na cloud, sem divulgar o número de ataques registados ou alterações de intensidade desde o início da campanha.

Recomenda-se que as organizações auditem todos os dispositivos de rede periférica para identificação de utilitários de captura de pacotes inesperados, implementem autenticação forte, monitorizem tentativas de autenticação provenientes de localizações geográficas atípicas e mantenham vigilância sobre ataques de repetição de credenciais.