- A AWS diz que grupos ligados ao GRU da Rússia passaram anos explorando dispositivos de ponta mal configurados para se infiltrar em infraestruturas críticas do Ocidente.
- A atividade se sobrepõe ao Curly COMrades, cujas ferramentas exploram VMs Hyper-V e Linux para persistência oculta
- A Amazon exige auditorias urgentes de equipamentos de ponta, verificações de reutilização de credenciais e rastreamento de acesso suspeito ao portal de administração.
Durante quase meia década, os actores de ameaças patrocinados pelo Estado russo têm utilizado configurações incorrectas de equipamentos de rede, bem como várias vulnerabilidades, para estabelecer resiliência nas principais organizações de infra-estruturas ocidentais, alertam os especialistas.
Em um novo relatório de ameaças (vum registro), CJ Moses, Diretor de Segurança da Informação (CISO) da Amazon Integrated Security, destacou a escala da campanha, que está em andamento há vários anos.
“A campanha demonstra um foco sustentado em infra-estruturas críticas no Ocidente, particularmente no sector energético, com operações desde 2021 até ao presente”, disse Moses.
Escondido à vista de todos
Na maioria dos casos, os agentes de ameaças recorrem a roteadores corporativos, concentradores VPN, gateways de acesso remoto e ferramentas de gerenciamento de rede.
Embora explorem diversas vulnerabilidades, incluindo muitos bugs de dia zero, eles exploram principalmente configurações incorretas. Isso, diz Moses, ocorre porque o uso da configuração errada deixa um espaço significativamente menor e, portanto, é muito mais difícil de detectar e evitar.
Alguns dos dispositivos de ponta implantados são hospedados como dispositivos virtuais na AWS, acrescentou o relatório, acrescentando que a empresa está trabalhando duro para “interromper continuamente” as campanhas assim que detectar atividades maliciosas.
Tentar atribuir a campanha a um ator de ameaça específico revelou-se um desafio, mas a AWS tem motivos para acreditar que a campanha da Diretoria Geral de Inteligência (GRU) é mais ampla, envolvendo vários grupos.
Uma das entidades ligadas aos ataques é chamada Curly COMrades, um grupo que esconde seu malware em VMs baseadas em Linux implantadas, entre outras coisas, em dispositivos Windows.
Em novembro deste ano, os pesquisadores de segurança da Bitdefender relataram que o Curly COMrades estava executando comandos remotos para ativar o recurso de virtualização microsoft-hyper-v e desativar sua interface de gerenciamento. Eles então usaram o recurso para baixar uma VM leve baseada em Alpine Linux com vários implantes de malware.
“Em 2026, as organizações devem priorizar a segurança dos dispositivos de borda da rede e o rastreamento de ataques de repetição de credenciais para se defenderem contra essa ameaça persistente”, disse Moses.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
