- Grupo russo de ciberespionagem APT28 ligado ao ‘ataque ao vizinho mais próximo’
- A rede Wi-Fi da vítima estava protegida, mas a do vizinho não
- O momento se alinha com a invasão da Ucrânia pela Rússia em 2022
O grupo russo de ciberespionagem APT28, também conhecido como Fancy Bear, conseguiu violar a rede de uma empresa americana aproveitando um ‘ataque ao vizinho mais próximo’ explorando redes Wi-Fi próximas.
Identificado pela primeira vez pela empresa de segurança cibernética Volexity em fevereiro de 2022, o ataque levanta novas preocupações sobre vulnerabilidades no sistema Wi-Fi corporativo.
Neste caso, o APT28, rastreado pela Volexity como ‘GruesomeLarch’, tinha como alvo uma organização dos EUA envolvida em projetos relacionados com a Ucrânia, daí o interesse do Estado-nação na empresa.
‘ataques ao vizinho mais próximo’
O ataque à empresa norte-americana não identificada – um cliente da Volexity cuja identidade foi protegida – começou com a pulverização de palavras-passe para adquirir credenciais para a rede Wi-Fi empresarial da vítima. A autenticação multifatorial da empresa protegeu seus sistemas públicos, mas os hackers recorreram a uma organização próxima para forçar a entrada.
A Volexity explicou: “O ator da ameaça estava do outro lado do mundo e não conseguia realmente se conectar [the victim’s] Rede Wi-Fi empresarial. Para superar esse obstáculo, o agente da ameaça trabalhou para comprometer outras organizações que estavam em edifícios próximos a [the victim’s] escritório. A estratégia deles era violar outra organização.”
O APT28 explorou um dispositivo que estava conectado a redes com e sem fio – ele agia como uma ponte para o Wi-Fi corporativo do alvo, permitindo movimentação lateral e exfiltração de dados.
Além disso, os invasores usaram ferramentas nativas do Windows, como o Cipher.exe, para apagar evidências, dificultando a detecção e o rastreamento do ataque. Eles também exploraram uma vulnerabilidade de dia zero no serviço Windows Print Spooler para aumentar os privilégios na rede da vítima.
Dado que o ataque ocorreu semanas antes da invasão da Ucrânia pela Rússia, o seu significado geopolítico está alinhado com a escolha da empresa-alvo.
A Volexity está agora aconselhando todas as empresas a monitorar atividades suspeitas, criar ambientes de rede separados para redes Wi-Fi e Ethernet e aplicar soluções de autenticação e baseadas em certificados.