A equipe de inteligência da Amazon Web Services (AWS) revelou detalhes de uma campanha cibernética de longa duração conduzida pelo grupo APT44, também conhecido como Sandworm, ligado à inteligência militar russa (GRU). A operação teve como alvo infraestruturas críticas ocidentais, com foco em falhas de configuração em dispositivos conectados à nuvem. Ao longo de vários anos, os atacantes exploraram dispositivos de borda de rede mal configurados, como roteadores, gateways VPN e appliances de gerenciamento, para obter acesso inicial em ambientes corporativos e governamentais.
A AWS afirma que a campanha foi altamente persistente, silenciosa e coordenada. Ao contrário de campanhas que dependem de vulnerabilidades conhecidas, os agentes do GRU se apoiaram na exposição pública de serviços e falhas operacionais, como autenticação ausente ou configurações padrão. Esses pontos fracos foram utilizados para acessar redes interligadas a serviços em nuvem, incluindo instâncias da AWS. Entre os alvos identificados estavam empresas de energia, provedores de serviços em nuvem, operadoras de telecomunicações e fornecedores de infraestrutura crítica na América do Norte e Europa. A campanha teria como objetivo não apenas espionagem, mas também posicionar o GRU para ataques cibernéticos de maior escala, se necessário.
Segundo a AWS, os invasores se valeram de táticas como movimentação lateral, coleta de credenciais e abuso de acessos legítimos, mantendo presença em redes por períodos prolongados. Em muitos casos, as atividades passaram despercebidas, já que não envolviam a exploração direta de falhas de software. A empresa destacou que as brechas não ocorreram na AWS em si, mas sim em equipamentos e sistemas dos clientes conectados à nuvem, reforçando o alerta sobre a importância da segurança de ambientes híbridos. A exposição de serviços na internet, sem autenticação adequada, foi um dos principais facilitadores da campanha. Como parte da resposta, a AWS compartilhou indicadores de comprometimento (IoCs) e notificou clientes afetados. A empresa também reforçou recomendações de segurança, como auditoria de dispositivos de borda, autenticação multifator e monitoramento contínuo de acessos e configurações.
