Sandworm colpisce sfruttando device mal configurati piuttosto che costosi 0-day

Emergono nuovi dettagli da un rapporto di Amazon Threat Intelligence che mettono in luce un’allarmante trasformazione nelle attività di cyber operazioni supportate dal governo russo.

Gli exploit 0day di alto livello, spesso attribuiti ad attori finanziati dallo Stato, hanno fatto registrare un calo significativo secondo i dati di Amazon relativi al periodo 2021-2025

In precedenza, questi gruppi erano considerati i principali responsabili di tali operazioni. Tuttavia, sembra che essi stiano ora concentrandosi su un diverso approccio, puntando a sfruttare le occasioni trascurate dagli amministratori di sistema.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Abbandonando la precedente strategia basata su complessi exploit software, il gruppo associato al temibile Sandworm (conosciuto anche come APT44) ha adottato un approccio più occulto e diretto.

Sulla base di modelli di targeting coerenti e sovrapposizioni infrastrutturali, Amazon Threat Intelligence valuta con “elevata sicurezza che questo cluster di attività sia associato alla Direzione principale dell’intelligence russa (GRU)”. Questo modello implica di concentrarsi su dispositivi di rete periferici mal configurati al fine di compromettere infrastrutture critiche in tutto l’Occidente.

Emerge da tale rapporto che un elemento strategico fondamentale abbia permesso a questi soggetti di assicurarsi una presenza stabile all’interno di reti essenziali, senza per questo aumentare la loro visibilità in modo significativo.

“Colpire i ‘frutti a portata di mano’, come i dispositivi dei clienti probabilmente mal configurati con interfacce di gestione esposte, consente di raggiungere gli stessi obiettivi strategici”, osserva il rapporto. Concentrandosi su router, concentratori VPN e dispositivi di gestione di rete non aggiornati o scarsamente protetti, gli aggressori possono raccogliere credenziali e spostarsi lateralmente senza bruciare costosi exploit software.

“L’intervallo di tempo tra la compromissione del dispositivo e i tentativi di autenticazione contro i servizi delle vittime suggerisce una raccolta passiva piuttosto che un furto attivo di credenziali”, hanno osservato gli analisti.

Queste credenziali rubate vengono poi trasformate in armi in “attacchi sistematici contro i servizi online delle organizzazioni vittime”, consentendo alle spie di passare dagli apparecchi di rete alle piattaforme di collaborazione cloud e ai sistemi di gestione dei progetti.

L’impatto della campagna si sovrappone alle operazioni precedentemente attribuite a Sandworm, un gruppo noto per i suoi attacchi destabilizzanti alla rete elettrica ucraina. I ricercatori hanno anche trovato collegamenti a un cluster che Bitdefefem traccia come “Curly COMrades”, suggerendo una potenziale divisione del lavoro in cui un team gestisce l’accesso iniziale mentre un altro gestisce la persistenza.

Una volta all’interno di un dispositivo edge compromesso, gli aggressori non si limitano a colpire e rubare; ascoltano. Il rapporto suggerisce che il gruppo utilizza funzionalità native di acquisizione dei pacchetti per intercettare passivamente il traffico di autenticazione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.