Nel 2022, Volexity ha scoperto una sofisticata tecnica di hacking Wi-Fi, il “nearest neighbor attack”, utilizzata dal gruppo di hacker russo APT28 per raccogliere informazioni sensibili sull’Ucraina senza avvicinarsi fisicamente al bersaglio. Gli hacker sfruttano un sistema compromesso in un’organizzazione vicina per penetrare la rete Wi-Fi del target, evitando il rilevamento e l’uso di malware
Nel 2018 quattro funzionari del servizio di intelligence militare russo Gru si trovavano nei Paesi Bassi e, da un’auto parcheggiata, tentavano di violare la rete Wi-Fi dell’Organizzazione per la proibizione delle armi chimiche utilizzando un’antenna nascosta nel bagagliaio. Sono stati scoperti. Ma quell’incidente ha spinto il Gru a sviluppare una tecnica di hacking Wi-Fi più sofisticata e sicura, soprannominata “nearest neighbor attack” dalla società di cybersicurezza americana Volexity.
Un metodo sicuro
Nel febbraio 2022, a poche settimane dall’inizio dell’invasione russa dell’Ucraina, Volexity, ha scoperto questa tecnica di hacking mai vista prima e l’ha attribuita al gruppo di hacker russi noto come APT28 o Fancy Bear, legato al Gru. Gli hacker possono penetrare le reti Wi-Fi senza avvicinarsi fisicamente al bersaglio, sfruttando un computer compromesso in un edificio vicino per accedere alla rete desiderata, utilizzando l’antenna Wi-Fi di quel dispositivo come ponte radio.
L’obiettivo di quell’attacco era la raccolta di informazioni legate all’Ucraina, in un periodo cruciale poco prima e subito dopo l’invasione russa del febbraio 2022. L’operazione dimostra come il Gru utilizzi metodi sempre più sofisticati per spiare obiettivi ad alto valore, minimizzando i rischi operativi. Infatti, questo approccio elimina la possibilità di essere individuati sul campo, come avvenuto nel 2018.
Come avviene l’attacco
Questo attacco è stato possibile a causa del livello di sicurezza inferiore delle reti Wi-Fi rispetto ad altre risorse, come le e-mail o le VPN. L’attaccante ha sfruttato queste vulnerabilità pur trovandosi lontano dalla sua vittima, seguendo il seguente flusso di lavoro: compromettere un’organizzazione nelle vicinanze geografiche dell’obiettivo; trovare un sistema dual-homed nella rete compromessa, connesso sia tramite Ethernet sia Wi-Fi; esaminare le reti Wi-Fi a portata del sistema compromesso; effettuare attacchi di brute-force per ottenere le credenziali delle organizzazioni che utilizzano queste reti Wi-Fi; autenticarsi alle reti Wi-Fi adiacenti fisicamente usando le credenziali scoperte.
Usando questo metodo, l’attaccante è riuscito a compromettere un’organizzazione dopo l’altra, senza mai distribuire malware, utilizzando solo credenziali valide per ottenere l’accesso. L’attaccante ha anche usato tecniche di living-off-the-land per evitare di distribuire malware e sfuggire ai sistemi di rilevamento.
Come prevenirlo
Per prevenire o rilevare attacchi simili, Volexity consiglia di: monitorare e segnalare l’uso anomalo degli strumenti netsh e Cipher.exe nell’ambiente; creare regole di rilevamento personalizzate per individuare file che vengono eseguiti da posizioni non standard, come la root di C:\ProgramData; rilevare e identificare l’esfiltrazione di dati dai servizi esposti su Internet; creare ambienti di rete separati per le reti Wi-Fi e Ethernet, soprattutto quando le reti Ethernet consentono l’accesso a risorse sensibili; considerare il rafforzamento dei requisiti di accesso per le reti Wi-Fi, come l’implementazione di MFA o soluzioni basate su certificati; monitorare il traffico di rete tra dispositivi per identificare file trasferiti tramite SMB contenenti dati esfiltrati comunemente, come credenziali, file ntds.dit, hives di registro, eccetera.
