Sandworm colpisce sfruttando device mal configurati piuttosto che costosi 0-day

Emergono nuovi dettagli da un rapporto di Amazon Threat Intelligence che mettono in luce un’allarmante trasformazione nelle attività di cyber operazioni supportate dal governo russo.

Gli exploit 0day di alto livello, spesso attribuiti ad attori finanziati dallo Stato, hanno fatto registrare un calo significativo secondo i dati di Amazon relativi al periodo 2021-2025

In precedenza, questi gruppi erano considerati i principali responsabili di tali operazioni. Tuttavia, sembra che essi stiano ora concentrandosi su un diverso approccio, puntando a sfruttare le occasioni trascurate dagli amministratori di sistema.

Abbandonando la precedente strategia basata su complessi exploit software, il gruppo associato al temibile Sandworm (conosciuto anche come APT44) ha adottato un approccio più occulto e diretto.

Sulla base di modelli di targeting coerenti e sovrapposizioni infrastrutturali, Amazon Threat Intelligence valuta con “elevata sicurezza che questo cluster di attività sia associato alla Direzione principale dell’intelligence russa (GRU)”. Questo modello implica di concentrarsi su dispositivi di rete periferici mal configurati al fine di compromettere infrastrutture critiche in tutto l’Occidente.

Emerge da tale rapporto che un elemento strategico fondamentale abbia permesso a questi soggetti di assicurarsi una presenza stabile all’interno di reti essenziali, senza per questo aumentare la loro visibilità in modo significativo.

“Colpire i ‘frutti a portata di mano’, come i dispositivi dei clienti probabilmente mal configurati con interfacce di gestione esposte, consente di raggiungere gli stessi obiettivi strategici”, osserva il rapporto. Concentrandosi su router, concentratori VPN e dispositivi di gestione di rete non aggiornati o scarsamente protetti, gli aggressori possono raccogliere credenziali e spostarsi lateralmente senza bruciare costosi exploit software.

“L’intervallo di tempo tra la compromissione del dispositivo e i tentativi di autenticazione contro i servizi delle vittime suggerisce una raccolta passiva piuttosto che un furto attivo di credenziali”, hanno osservato gli analisti.

Queste credenziali rubate vengono poi trasformate in armi in “attacchi sistematici contro i servizi online delle organizzazioni vittime”, consentendo alle spie di passare dagli apparecchi di rete alle piattaforme di collaborazione cloud e ai sistemi di gestione dei progetti.

L’impatto della campagna si sovrappone alle operazioni precedentemente attribuite a Sandworm, un gruppo noto per i suoi attacchi destabilizzanti alla rete elettrica ucraina. I ricercatori hanno anche trovato collegamenti a un cluster che Bitdefefem traccia come “Curly COMrades”, suggerendo una potenziale divisione del lavoro in cui un team gestisce l’accesso iniziale mentre un altro gestisce la persistenza.

Una volta all’interno di un dispositivo edge compromesso, gli aggressori non si limitano a colpire e rubare; ascoltano. Il rapporto suggerisce che il gruppo utilizza funzionalità native di acquisizione dei pacchetti per intercettare passivamente il traffico di autenticazione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.