Le spie informatiche russe sfruttano la prossimità in un innovativo attacco Wi-Fi
Un gruppo russo di cyberspionaggio ha portato l'ingegnosità degli hacker a un nuovo, pericoloso livello con una tecnica soprannominata "Nearest Neighbor Attack". Questo metodo, scoperto dall'azienda di sicurezza informatica Volexity, rivela come i gruppi Advanced Persistent Threat (APT) come APT28 (noto anche come Fancy Bear) stiano evolvendo le loro tattiche per aggirare anche le misure di sicurezza più robuste.
In questo caso agghiacciante, gli hacker russi si sono infiltrati nella rete Wi-Fi di una vittima non violandola direttamente, ma compromettendo un'organizzazione situata dall'altra parte della strada. L'incidente evidenzia una crescente necessità di vigilanza riguardo ai rischi spesso trascurati delle reti Wi-Fi.
Sommario
L'anatomia dell'attacco
L'attacco è iniziato con una classica campagna di password spraying. Gli hacker hanno ottenuto le credenziali per un servizio utilizzato dal loro obiettivo principale, denominato "Organizzazione A". Tuttavia, i loro sforzi iniziali sono stati ostacolati dall'autenticazione a più fattori (MFA), impedendo loro di sfruttare queste credenziali.
Non scoraggiati, gli hacker hanno spostato l'attenzione su un edificio vicino che ospitava un'entità secondaria, "Organizzazione B". Compromettendo un dispositivo nella rete dell'Organizzazione B che aveva sia una connessione Ethernet cablata sia un adattatore Wi-Fi attivo, gli aggressori si sono fatti strada nella rete Wi-Fi dell'Organizzazione A. Il gruppo di cyberspionaggio non si è fermato qui: ha anche compromesso una terza entità, "Organizzazione C", che forniva percorsi di connettività aggiuntivi all'Organizzazione A.
Furtività e inganno: l'uso di tecniche di vita basata sulla terra
Gli hacker hanno cancellato meticolosamente le loro tracce, sfruttando lo strumento nativo Cipher.exe di Microsoft, un'utilità legittima solitamente utilizzata per l'eliminazione sicura dei dati. Questa è stata la prima volta che Volexity ha riscontrato un abuso di Cipher.exe in questo modo, sottolineando l'approccio innovativo del gruppo.
Inoltre, il gruppo si è affidato pesantemente a tecniche di "vivere fuori dalla terra", che implicano lo sfruttamento di strumenti integrati e software legittimi per eludere il rilevamento. Tali metodi rendono significativamente più difficile per i difensori attribuire o identificare attività dannose.
APT28: un attore noto nello spionaggio informatico
Sebbene le indagini iniziali abbiano lasciato Volexity incerta sui responsabili, un successivo rapporto di Microsoft del 2024 ha confermato che le tattiche portavano i tratti distintivi di Forest Blizzard, un gruppo tracciato anche come APT28, Fancy Bear o Sofacy. APT28 è una nota unità russa di cyberspionaggio con una lunga storia di attacchi ad avversari geopolitici .
In questo caso, gli aggressori miravano ad accedere a dati sensibili relativi all'Ucraina, poiché la violazione è avvenuta poco prima dell'invasione del Paese da parte della Russia nel 2022.
Un nuovo tipo di attacco di prossimità
Ciò che distingue il Nearest Neighbor Attack è la sua ingegnosità. Le tradizionali operazioni di close-access spesso richiedono che gli aggressori siano fisicamente vicini ai loro obiettivi, aumentando il rischio di esposizione. Tuttavia, questo metodo sfrutta dispositivi compromessi in posizioni vicine per ottenere gli stessi vantaggi basati sulla prossimità senza rischiare la presenza fisica.
"Questo attacco equivale effettivamente a un'operazione di accesso ravvicinato, ma il rischio di essere identificati fisicamente o detenuti è stato rimosso", ha spiegato Volexity. L'approccio dimostra l'intraprendenza e la determinazione dei moderni gruppi APT.
Implicazioni per la sicurezza informatica: i rischi nascosti delle reti Wi-Fi
The Nearest Neighbor Attack serve come un duro promemoria del fatto che le reti Wi-Fi rimangono spesso una vulnerabilità trascurata nelle strategie di sicurezza informatica. Mentre le organizzazioni hanno investito molto nella protezione dei servizi Internet-facing con MFA e altre misure, lo stesso rigore non è stato applicato alle reti Wi-Fi.
Per difendersi da attacchi simili, le organizzazioni dovrebbero:
- Eseguire valutazioni approfondite della sicurezza di tutte le reti wireless.
- Monitora i dispositivi non autorizzati connessi alle reti Wi-Fi.
- Ove possibile, limitare l'accesso ai sistemi critici tramite connessioni Wi-Fi.
- Implementare una crittografia Wi-Fi avanzata e aggiornare regolarmente le credenziali di accesso.
- Formare i dipendenti affinché riconoscano e segnalino attività insolite nella rete.
Una chiamata al risveglio per i difensori informatici
The Nearest Neighbor Attack illustra come gruppi di cyberspionaggio come APT28 continuino a innovare, sfruttando vulnerabilità trascurate nel perseguimento dei loro obiettivi. Poiché le reti Wi-Fi stanno diventando parte integrante delle operazioni moderne, la loro protezione deve essere trattata con la stessa importanza di altri sistemi critici.
Questo caso dovrebbe servire da campanello d'allarme per le organizzazioni di tutto il mondo affinché ripensino il loro approccio alla sicurezza wireless. Le minacce avanzate richiedono difese avanzate e il costo dell'indifferenza potrebbe essere troppo alto.