DALL E3 Microsoft Designer

Rússia hackeia Wi-Fi nos EUA via Internet

Da Redação
25/11/2024

O grupo de hackers estatais russos APT28 (também conhecido como Fancy Bear) utilizou uma técnica inovadora chamada “ataque ao vizinho mais próximo” para comprometer a rede WiFi corporativa de uma empresa nos EUA a partir de milhares de quilômetros de distância. O ataque foi descoberto pela empresa de segurança cibernética Volexity em fevereiro de 2022, durante a investigação de um comprometimento relacionado ao trabalho da vítima na Ucrânia. O APT28 é vinculado à Diretoria Principal de Inteligência da Rússia (GRU) e opera há quase duas décadas.

Leia também
Patches de emergência para vCenter Server
Microsoft turbina reparações do Windows

Inicialmente, os hackers comprometeram credenciais de uma organização vizinha ao alvo através de ataques de pulverização de senhas. Aproveitaram dispositivos dual-home (com conectividade com e sem fio) na rede comprometida para se conectar ao WiFi da vítima. A proximidade física foi substituída pelo encadeamento de acessos entre organizações próximas até que um ponto de acesso viável fosse encontrado. Com uma conexão RDP e credenciais de baixo privilégio, os invasores realizaram movimento lateral na rede, exfiltraram dados e executaram ferramentas nativas do Windows para manter um perfil discreto.

O ataque incluiu a exploração da vulnerabilidade CVE-2022-38028 no serviço Windows Print Spooler para aumentar privilégios e realizar ações críticas na rede da vítima. Dados como registros do Windows foram extraídos compactados em arquivos ZIP. A Volexity determinou que o alvo principal do ataque era coletar informações de indivíduos e projetos relacionados à Ucrânia, mas só confirmou a identidade do grupo com base em um relatório posterior da Microsoft.

Esse tipo de ataque demonstra a evolução de operações de acesso próximo, eliminando a necessidade de proximidade física e reduzindo o risco para os atacantes. Ele destaca a necessidade de fortalecer a segurança de redes WiFi corporativas, equiparando-as a outros serviços de acesso remoto, mesmo com proteções como autenticação multifator já implementadas em outros sistemas.

Compartilhar: