(https://i.postimg.cc/x1Ht37mm/Russia-bear.png) (https://postimages.org/)
Los piratas informáticos estatales rusos APT28 (Fancy Bear/Forest Blizzard/Sofacy) atacaron a una empresa estadounidense a través de su red WiFi empresarial mientras se encontraban a miles de kilómetros de distancia, aprovechando una técnica novedosa llamada "ataque al vecino más cercano".
El actor de amenazas se dirigió al objetivo después de comprometer primero a una organización en un edificio cercano dentro del alcance de la red WiFi.
El ataque se descubrió el 4 de febrero de 2022, cuando la empresa de ciberseguridad Volexity detectó un servidor comprometido en el sitio de un cliente en Washington, DC, que estaba realizando un trabajo relacionado con Ucrania.
APT28 es parte de la unidad militar rusa 26165 en la Dirección General de Inteligencia (GRU) y ha estado realizando operaciones cibernéticas desde al menos 2004.
Los piratas informáticos, a los que Volexity rastrea como GruesomeLarch, obtuvieron primero las credenciales de la red WiFi empresarial del objetivo a través de ataques de rociado de contraseñas dirigidos al servicio público de la víctima.
Sin embargo, la presencia de protección de autenticación multifactor (MFA) impidió el uso de las credenciales en la web pública. Aunque conectarse a través de la red WiFi empresarial no requería MFA, estar "a miles de kilómetros de distancia y a un océano de distancia de la víctima" era un problema.
Entonces, los piratas informáticos se volvieron creativos y comenzaron a buscar organizaciones en edificios cercanos que pudieran servir como pivote hacia la red inalámbrica objetivo.
La idea era comprometer otra organización y buscar en su red dispositivos domésticos duales, que tienen una conexión tanto cableada como inalámbrica. Un dispositivo de este tipo (por ejemplo, una computadora portátil o un enrutador) permitiría a los piratas informáticos utilizar su adaptador inalámbrico y conectarse a la red WiFi de la empresa objetivo.
(https://i.postimg.cc/rFz24CY4/nearest-neighbor-attack.png) (https://postimg.cc/GH0fwYR3)
Volexity descubrió que APT28 comprometió a varias organizaciones como parte de este ataque, conectando en cadena sus conexiones utilizando credenciales de acceso válidas. Finalmente, encontraron un dispositivo dentro del rango adecuado que podía conectarse a tres puntos de acceso inalámbricos cerca de las ventanas de la sala de conferencias de una víctima.
Mediante una conexión de escritorio remoto (RDP) desde una cuenta sin privilegios, el actor de amenazas pudo moverse lateralmente en la red objetivo en busca de sistemas de interés y exfiltrar datos.
Los piratas informáticos ejecutaron servtask.bat para volcar los subárboles del registro de Windows (SAM, Seguridad y Sistema), comprimiéndolos en un archivo ZIP para exfiltrarlos.
Los atacantes generalmente confiaron en herramientas nativas de Windows para mantener su huella al mínimo mientras recopilaban los datos.
"Volexity determinó además que GruesomeLarch estaba apuntando activamente a la Organización A para recopilar datos de personas con experiencia y proyectos que involucraban activamente a Ucrania" - Volexity
Las múltiples complejidades en la investigación impidieron que Volexity atribuyera este ataque a ningún actor de amenazas conocido. Pero un informe de Microsoft de abril de este año lo dejó claro, ya que incluía indicadores de compromiso (IoC) que se superponían con las observaciones de Volexity y apuntaban al grupo de amenazas ruso.
Según los detalles del informe de Microsoft, es muy probable que APT28 haya podido escalar privilegios antes de ejecutar cargas útiles críticas explotando como día cero la vulnerabilidad CVE-2022-38028 en el servicio Windows Print Spooler dentro de la red de la víctima.
El "ataque de vecino cercano" de APT28 muestra que una operación de acceso cercano, que normalmente requiere proximidad al objetivo (por ejemplo, un estacionamiento), también se puede realizar desde lejos y elimina el riesgo de ser identificado o atrapado físicamente.
Si bien los dispositivos con conexión a Internet se han beneficiado de una seguridad mejorada en los últimos años, al agregar MFA y otros tipos de protecciones, las redes corporativas WiFi deben tratarse con el mismo cuidado que cualquier otro servicio de acceso remoto.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hackers-breach-us-firm-over-wi-fi-from-russia-in-nearest-neighbor-attack/