Negli ultimi anni, Amazon ha reso pubblici nuovi dettagli su una campagna cyber condotta dal GRU russo che, tra il 2021 e il 2025, ha preso di mira infrastrutture critiche occidentali, in particolare nel settore energetico e nei servizi cloud. L’attività, attribuita con alta certezza alla Main Intelligence Directorate (GRU) e al gruppo noto come APT44 (anche identificato come Sandworm, FROZENBARENTS, Seashell Blizzard e Voodoo Bear), si è caratterizzata per un’evoluzione tattica significativa nel panorama delle minacce informatiche.
Le tecniche di attacco utilizzate si sono progressivamente spostate dall’esploit di vulnerabilità zero-day e N-day verso una strategia basata principalmente sulla compromissione di dispositivi edge di rete mal configurati e con interfacce di gestione esposte. Questi dispositivi, spesso router aziendali, VPN concentrators e apparati di gestione della rete, rappresentano il punto d’ingresso privilegiato dai cyber criminali per sottrarre credenziali e accedere lateralmente alle infrastrutture cloud delle vittime.
Amazon ha evidenziato come i criminali abbiano sfruttato vulnerabilità note in prodotti come WatchGuard Firebox e XTM (CVE-2022-26318), Atlassian Confluence (CVE-2021-26084, CVE-2023-22518) e Veeam (CVE-2023-27532), ma la vera svolta è stata la capacità di persistere sfruttando configurazioni errate nei dispositivi edge, riducendo così la necessità e la visibilità degli exploit tradizionali.
Grazie alla posizione sui dispositivi di frontiera della rete, i cyber criminali sono stati in grado di intercettare grandi quantità di traffico e raccogliere credenziali, che poi vengono riutilizzate in attacchi di credential replay contro servizi online delle organizzazioni vittime. Questo modus operandi è stato rilevato su scala globale, con bersagli in Nord America, Europa occidentale e orientale, e Medio Oriente, specialmente nel settore energetico e dei servizi tecnologici.
L’indagine Amazon ha anche rivelato una sovrapposizione di infrastrutture con un altro cluster noto come Curly COMrades, suggerendo possibili operazioni complementari all’interno di una più ampia strategia GRU.
Per proteggersi da queste minacce, Amazon raccomanda alle organizzazioni di effettuare audit rigorosi sui dispositivi edge, implementare autenticazione forte, monitorare accessi da località insolite e prestare attenzione ai tentativi di credential replay. È fondamentale inoltre aggiornare tempestivamente i dispositivi e limitare l’esposizione delle interfacce di gestione.