Cotització de descompte per a múltiples llicències
Seguretat informàtica Els ciberespies russos exploten la proximitat en un...

Els ciberespies russos exploten la proximitat en un innovador atac de Wi-Fi

El Mura el Seguretat informàtica
Traduir a:
Català

Un grup de ciberespionatge rus ha portat l'enginy de la pirateria a un nou nivell perillós amb una tècnica anomenada "l'atac al veí més proper". Aquest mètode, descobert per la firma de ciberseguretat Volexity, revela com grups d'amenaça persistent avançada (APT) com APT28 (també conegut com Fancy Bear) estan evolucionant les seves tàctiques per evitar fins i tot mesures de seguretat robustes.

En aquest cas esgarrifós, els pirates informàtics russos es van infiltrar a la xarxa Wi-Fi d'una víctima no violant-la directament, sinó comprometent una organització situada a l'altra banda del carrer. L'incident posa de manifest una necessitat creixent de vigilància pel que fa als riscos sovint passats per alt de les xarxes Wi-Fi.

L'anatomia de l'atac

L'atac va començar amb una campanya clàssica de polvorització de contrasenyes. Els pirates informàtics van obtenir credencials per a un servei utilitzat pel seu objectiu principal, anomenat "Organització A". Tanmateix, els seus esforços inicials es van veure frustrats per l'autenticació multifactor (MFA), cosa que els va impedir explotar aquestes credencials.

Sense dissuadir-se, els pirates informàtics van centrar-se en un edifici proper que allotjava una entitat secundària, "l'Organització B". En comprometre un dispositiu de la xarxa de l'Organització B que tenia una connexió Ethernet per cable i un adaptador Wi-Fi actiu, els atacants van entrar a la xarxa Wi-Fi de l'Organització A. El grup de ciberespionatge no es va aturar aquí: també van comprometre una tercera entitat, "l'Organització C", que va proporcionar vies de connectivitat addicionals a l'Organització A.

Sigil i engany: l'ús de tècniques de vida de la terra

Els pirates informàtics van esborrar minuciosament les seves pistes, aprofitant l'eina Cipher.exe nativa de Microsoft, una utilitat legítima que s'utilitza habitualment per a la supressió de dades segura. Aquesta va ser la primera vegada que Volexity s'havia trobat amb Cipher.exe abusat d'aquesta manera, subratllant l'enfocament innovador del grup.

A més, el grup va confiar molt en les tècniques de "viure de la terra", que impliquen l'explotació d'eines integrades i programari legítim per evitar la detecció. Aquests mètodes fan que sigui molt més difícil per als defensors atribuir o identificar activitats malicioses.

APT28: Un jugador notori en el ciberespionatge

Tot i que les investigacions inicials van deixar a Volexity insegur dels autors, un informe posterior de Microsoft el 2024 va confirmar que les tàctiques tenien els distintius de Forest Blizzard, un grup també identificat com APT28, Fancy Bear o Sofacy. APT28 és una coneguda unitat de ciberespionatge russa amb una llarga història d'orientació a adversaris geopolítics .

En aquest cas, els atacants pretenien accedir a dades sensibles relacionades amb Ucraïna, ja que la violació es va produir poc abans de la invasió del país per part de Rússia el 2022.

Un nou tipus d'atac de proximitat

El que diferencia el Nearest Neighbor Attack és el seu enginy. Les operacions tradicionals d'accés proper sovint requereixen que els atacants estiguin físicament a prop dels seus objectius, augmentant el risc d'exposició. Tanmateix, aquest mètode aprofita els dispositius compromesos en ubicacions veïnes per aconseguir els mateixos avantatges basats en la proximitat sense arriscar la presència física.

"Aquest atac equival a una operació d'accés proper, però s'ha eliminat el risc de ser identificat o detingut físicament", va explicar Volexity. L'enfocament demostra l'enginy i la determinació dels grups APT moderns.

Implicacions per a la ciberseguretat: els riscos ocults de les xarxes Wi-Fi

The Nearest Neighbor Attack serveix com a recordatori contundent que les xarxes Wi-Fi sovint continuen sent una vulnerabilitat ignorada en les estratègies de ciberseguretat. Tot i que les organitzacions han invertit molt en la seguretat dels serveis orientats a Internet amb MFA i altres mesures, no s'ha aplicat el mateix rigor a les xarxes Wi-Fi.

Per defensar-se d'atacs similars, les organitzacions haurien de:

  • Realitzeu avaluacions de seguretat exhaustives de totes les xarxes sense fil.
  • Superviseu els dispositius no autoritzats connectats a xarxes Wi-Fi.
  • Restringeix l'accés als sistemes crítics des de les connexions Wi-Fi sempre que sigui possible.
  • Implementeu un xifratge Wi-Fi fort i actualitzeu regularment les credencials d'accés.
  • Capaciteu els empleats per reconèixer i informar d'activitats inusuals de la xarxa.

Una crida d'atenció als ciberdefensors

The Nearest Neighbor Attack il·lustra com grups de ciberespionatge com APT28 continuen innovant, explotant vulnerabilitats ignorades per aconseguir els seus objectius. A mesura que les xarxes Wi-Fi esdevenen integrants de les operacions modernes, la seva seguretat s'ha de tractar amb la mateixa importància que altres sistemes crítics.

Aquest cas hauria de servir com a crida d'atenció per a les organitzacions de tot el món per repensar el seu enfocament a la seguretat sense fil. Les amenaces avançades exigeixen defenses avançades i el cost de la complaença pot ser massa elevat.

Carregant...