A Amazon Web Services (AWS) confirmou uma campanha sustentada de ataques cibernéticos de cinco anos por um grupo patrocinado pelo estado russo visando dispositivos de clientes. Os ataques, conduzidos pelo ator de ameaça Sandworm vinculado à inteligência militar GRU da Rússia, exploraram vulnerabilidades em dispositivos de borda de rede gerenciados pelo cliente hospedados na AWS, não na própria infraestrutura da AWS.
O ataque: visando infraestrutura crítica
A campanha, ativa desde 2021, centrou-se principalmente em organizações do setor energético dos países ocidentais, incluindo a América do Norte e a Europa. Em vez de explorar os pontos fracos da AWS, os invasores visaram dispositivos de clientes mal configurados, tornando-os pontos de entrada fáceis para acesso persistente.
De acordo com CJ Moses, da Amazon Threat Intelligence, a abordagem dos invasores representa um “pivô tático” que se afasta da exploração tradicional de vulnerabilidades para aproveitar sistemas mal configurados. Este método permitiu-lhes manter o acesso durante anos sem detecção pela própria AWS.
Por que isso é importante: uma mudança nas táticas de guerra cibernética
Este ataque realça uma tendência crescente na guerra cibernética: os actores patrocinados pelo Estado exploram cada vez mais o erro humano e as más práticas de segurança, em vez de confiarem apenas em explorações de dia zero. O “fruto mais fácil” dos dispositivos mal configurados proporciona um caminho mais fácil e mais fiável para a infiltração.
Isto é preocupante porque transfere a responsabilidade pela defesa para os utilizadores finais, que podem não ter conhecimentos ou recursos para proteger adequadamente os seus sistemas. Significa também que mesmo plataformas de nuvem robustas como a AWS não estarão imunes se os clientes não seguirem os protocolos básicos de segurança.
O que a AWS está fazendo e o que os clientes devem fazer
O Amazon Threat Intelligence notificou os clientes afetados e está pedindo maior monitoramento e auditoria de dispositivos de rede. A empresa enfatiza que não há exploração específica da AWS para corrigir; o problema está nas configurações incorretas do cliente.
Daqui para frente, os clientes da AWS devem priorizar a configuração segura de dispositivos, auditorias regulares de segurança e detecção proativa de ameaças. Isso inclui a aplicação de controles de acesso robustos, a aplicação imediata de patches nos sistemas e a implementação de autenticação multifator sempre que possível.
O sucesso desta campanha sublinha a necessidade crítica de vigilância e práticas de segurança robustas em todos os níveis do ecossistema da nuvem.
Os ataques são contínuos e os clientes devem permanecer vigilantes para proteger a sua infraestrutura crítica contra ameaças cibernéticas persistentes.
