A recente divulgação da Amazon trouxe à tona uma campanha cibernética de longa duração atribuída ao Sandworm, grupo ligado ao GRU, a inteligência militar da Rússia. Ativa entre 2021 e 2025, a operação teve como foco infraestrutura crítica, provedores de serviços e ambientes de computação em nuvem, incluindo implantações corporativas na AWS, explorando falhas básicas que continuam amplamente negligenciadas.
O alerta é particularmente relevante porque revela uma mudança estratégica importante, o grupo reduziu a dependência de vulnerabilidades complexas e passou a explorar dispositivos de borda mal configurados, interfaces administrativas expostas e o uso indevido de credenciais legítimas, uma abordagem silenciosa, barata e altamente eficaz.
Este artigo analisa como essa campanha funciona, por que ela representa um risco direto para a segurança da infraestrutura em nuvem, e quais medidas práticas profissionais de TI e segurança devem adotar para reduzir a superfície de ataque diante de um adversário persistente como o APT44.
O ponto de virada: dispositivos de borda mal configurados como vetor central
Durante anos, o Sandworm foi associado a ataques destrutivos, exploração de falhas críticas e operações alinhadas a interesses geopolíticos do Kremlin. A campanha detalhada pela Amazon, no entanto, mostra um desvio claro desse padrão, menos sofisticação técnica aparente e mais exploração sistemática de erros operacionais.
Os dispositivos de borda de rede, como firewalls, appliances de VPN, gateways e roteadores corporativos, tornaram-se o principal ponto de entrada. Em muitos ambientes, esses sistemas operam com firmware desatualizado, autenticação fraca ou interfaces de gerenciamento acessíveis diretamente pela internet, criando um alvo ideal para acesso inicial discreto.
Em arquiteturas híbridas e cloud, onde esses dispositivos conectam redes locais a ambientes na AWS, um único erro de configuração é suficiente para comprometer todo o perímetro lógico da organização.
Como funciona a cadeia de ataque em ambientes AWS
A análise da Amazon descreve uma cadeia de ataque em quatro estágios, simples na execução e difícil de detectar quando não há monitoramento adequado.
O primeiro estágio envolve o comprometimento do dispositivo de borda, geralmente por meio de credenciais expostas, reutilizadas ou protegidas apenas por senha. Não há necessidade de malware avançado ou exploração de dia zero.
Em seguida, o atacante realiza a captura de tráfego de rede, observando sessões legítimas, fluxos administrativos e comunicações entre sistemas internos e serviços em nuvem.
O terceiro estágio é a coleta de credenciais válidas, como tokens de sessão, chaves temporárias e cookies usados para autenticação em consoles e APIs da AWS.
Por fim, ocorre o reuso dessas credenciais, permitindo que o invasor acesse recursos na nuvem como se fosse um usuário legítimo, contornando controles tradicionais baseados apenas em assinaturas ou indicadores de malware.
Por que essa abordagem é eficiente para o GRU
Essa tática oferece vantagens claras para um ator estatal. O custo operacional é baixo, o risco de exposição é reduzido e o impacto potencial é elevado. Ao usar credenciais legítimas, o Sandworm se mistura ao tráfego normal, dificultando a detecção por ferramentas que não analisam comportamento e contexto.
Além disso, a exploração de configurações incorretas transfere parte da responsabilidade do sucesso do ataque para a própria vítima. Ambientes sem segmentação adequada, sem MFA ou sem visibilidade de logs tornam-se alvos ideais.
Para um grupo com objetivos de longo prazo, como espionagem e acesso persistente a infraestrutura crítica, essa estratégia é mais sustentável do que ataques barulhentos e destrutivos.
Alvos estratégicos e histórico da campanha do Sandworm
Os setores visados seguem o padrão histórico do grupo. Energia, telecomunicações, serviços essenciais, órgãos governamentais e provedores de nuvem estão entre os principais alvos observados ao longo da campanha.
Antes da ênfase em dispositivos de borda, o grupo já havia explorado falhas amplamente divulgadas em tecnologias corporativas populares, incluindo WatchGuard, Atlassian Confluence e Veeam, sempre com o objetivo de ampliar o acesso inicial e estabelecer persistência.
O que muda agora é a escala e a discrição. Ao focar na borda da rede, o APT44 explora um ponto frequentemente esquecido em auditorias de segurança, mas que controla todo o fluxo entre ambientes locais e a nuvem.
A relação operacional com o Curly Comrades
Relatórios de inteligência apontam para uma possível divisão de tarefas dentro do ecossistema operacional do GRU, com subgrupos especializados em fases específicas do ataque. Um desses grupos, conhecido como Curly Comrades, estaria focado principalmente em acesso inicial e manutenção de persistência.
Essa estrutura modular permite que a operação continue mesmo quando partes da infraestrutura são expostas ou mitigadas, aumentando a resiliência da campanha e a dificuldade de atribuição técnica clara.
Checklist prático de defesa contra o APT44 em ambientes de nuvem
A principal conclusão do alerta da Amazon é direta, grande parte do risco pode ser mitigada com boas práticas já conhecidas, mas nem sempre aplicadas.
O primeiro passo é realizar uma auditoria completa dos dispositivos de borda, verificando interfaces administrativas expostas, serviços desnecessários ativos e versões de firmware desatualizadas.
A implementação de autenticação multifator obrigatória deve ser tratada como requisito mínimo, tanto para dispositivos de rede quanto para acesso a consoles e APIs da AWS.
É essencial também monitorar padrões geográficos de autenticação, tratando acessos legítimos a partir de regiões inesperadas como eventos de alto risco.
Outro ponto crítico é a capacidade de identificar reutilização de credenciais, analisando tokens de sessão, duração anormal de acessos e inconsistências entre origem de rede e identidade do usuário.
Por fim, a integração entre times de rede, cloud e segurança é fundamental. A campanha do Sandworm mostra que ataques modernos exploram exatamente as lacunas entre essas áreas.
Visão geral e chamada à ação
A campanha exposta pela Amazon evidencia que a ameaça não está apenas em vulnerabilidades sofisticadas, mas na exploração contínua de falhas básicas de configuração. O Sandworm, ligado ao GRU, demonstra que disciplina operacional fraca ainda é um dos maiores riscos para a segurança da infraestrutura em nuvem.
Para profissionais de TI e segurança, o recado é claro. Revisar agora configurações de dispositivos de borda, fortalecer autenticação e ampliar a visibilidade sobre acessos cloud não é uma opção, é uma necessidade estratégica.
Em um cenário de ataques persistentes e silenciosos, o básico bem executado continua sendo a defesa mais eficaz contra adversários altamente capacitados.
