Ecco come gli hacker russi hanno reinventato gli attacchi Wi-Fi

Nel 2018 quattro funzionari del servizio di intelligence militare russo Gru si trovavano nei Paesi Bassi e, da un’auto parcheggiata, tentavano di violare la rete Wi-Fi dell’Organizzazione per la proibizione delle armi chimiche utilizzando un’antenna nascosta nel bagagliaio. Sono stati scoperti. Ma quell’incidente ha spinto il Gru a sviluppare una tecnica di hacking Wi-Fi più sofisticata e sicura, soprannominata “nearest neighbor attack” dalla società di cybersicurezza americana Volexity.

Un metodo sicuro

Nel febbraio 2022, a poche settimane dall’inizio dell’invasione russa dell’Ucraina, Volexity, ha scoperto questa tecnica di hacking mai vista prima e l’ha attribuita al gruppo di hacker russi noto come APT28 o Fancy Bear, legato al Gru. Gli hacker possono penetrare le reti Wi-Fi senza avvicinarsi fisicamente al bersaglio, sfruttando un computer compromesso in un edificio vicino per accedere alla rete desiderata, utilizzando l’antenna Wi-Fi di quel dispositivo come ponte radio.

L’obiettivo di quell’attacco era la raccolta di informazioni legate all’Ucraina, in un periodo cruciale poco prima e subito dopo l’invasione russa del febbraio 2022. L’operazione dimostra come il Gru utilizzi metodi sempre più sofisticati per spiare obiettivi ad alto valore, minimizzando i rischi operativi. Infatti, questo approccio elimina la possibilità di essere individuati sul campo, come avvenuto nel 2018.

Come avviene l’attacco

Questo attacco è stato possibile a causa del livello di sicurezza inferiore delle reti Wi-Fi rispetto ad altre risorse, come le e-mail o le VPN. L’attaccante ha sfruttato queste vulnerabilità pur trovandosi lontano dalla sua vittima, seguendo il seguente flusso di lavoro: compromettere un’organizzazione nelle vicinanze geografiche dell’obiettivo; trovare un sistema dual-homed nella rete compromessa, connesso sia tramite Ethernet sia Wi-Fi; esaminare le reti Wi-Fi a portata del sistema compromesso; effettuare attacchi di brute-force per ottenere le credenziali delle organizzazioni che utilizzano queste reti Wi-Fi; autenticarsi alle reti Wi-Fi adiacenti fisicamente usando le credenziali scoperte.

Usando questo metodo, l’attaccante è riuscito a compromettere un’organizzazione dopo l’altra, senza mai distribuire malware, utilizzando solo credenziali valide per ottenere l’accesso. L’attaccante ha anche usato tecniche di living-off-the-land per evitare di distribuire malware e sfuggire ai sistemi di rilevamento.

Come prevenirlo

Per prevenire o rilevare attacchi simili, Volexity consiglia di: monitorare e segnalare l’uso anomalo degli strumenti netsh e Cipher.exe nell’ambiente; creare regole di rilevamento personalizzate per individuare file che vengono eseguiti da posizioni non standard, come la root di C:\ProgramData; rilevare e identificare l’esfiltrazione di dati dai servizi esposti su Internet; creare ambienti di rete separati per le reti Wi-Fi e Ethernet, soprattutto quando le reti Ethernet consentono l’accesso a risorse sensibili; considerare il rafforzamento dei requisiti di accesso per le reti Wi-Fi, come l’implementazione di MFA o soluzioni basate su certificati; monitorare il traffico di rete tra dispositivi per identificare file trasferiti tramite SMB contenenti dati esfiltrati comunemente, come credenziali, file ntds.dit, hives di registro, eccetera.