A Amazon Web Services (AWS) revelou que grupos associados ao GRU, a principal agência de inteligência militar da Rússia, têm explorado falhas de configuração em dispositivos de rede para manter acesso a estruturas críticas no Ocidente. A atividade criminosa se concentra especialmente no setor de energia e se estende por vários anos.

No mais recente relatório de ameaças, CJ Moses, diretor de segurança da informação da Amazon, destacou a gravidade da campanha, que se iniciou em 2021 e continua até os dias atuais. "Essa campanha mostra um foco contínuo nas infraestruturas críticas ocidentais, especialmente no setor energético", afirmou Moses.

A maioria das ações dos invasores visa equipamentos como roteadores empresariais, concentradores de VPN e dispositivos de gerenciamento de rede. Embora diversas vulnerabilidades sejam exploradas, incluindo falhas zero-day, a ênfase está em aproveitar configurações inadequadas, que são mais difíceis de detectar.

O relatório ainda menciona que alguns dispositivos de borda atacados estão hospedados como appliances virtuais na AWS, e a empresa está constantemente trabalhando para interromper essas campanhas assim que atividades maliciosas são identificadas.

A atribuição da campanha a um ator específico é desafiadora, mas a AWS acredita que se trata de uma operação mais ampla do GRU, envolvendo vários grupos. Um dos grupos mencionados é o Curly COMrades, conhecido por ocultar seu malware em VMs baseadas em Linux em dispositivos Windows.

Em novembro deste ano, pesquisadores de segurança da Bitdefender relataram que o Curly COMrades estava executando comandos remotos para habilitar o recurso de virtualização Microsoft Hyper-V e desativar sua interface de gerenciamento, o que permitiu o download de uma VM leve baseada em Alpine Linux com vários implantes de malware.