Los hackers rusos han desarrollado una nueva táctica para infiltrarse en organizaciones, aprovechando redes Wi-Fi cercanas. Desde ubicaciones remotas, logran conectar dispositivos Wi-Fi vulnerables hasta llegar a su objetivo final.
El ataque, detectado por la empresa de ciberseguridad Volexity en febrero de 2022, justo antes de la invasión rusa de Ucrania, mostró cómo los hackers, a miles de kilómetros de distancia, lograban acceder de manera no autorizada a las redes de sus víctimas sin necesidad de estar físicamente en el lugar [1].
¿Cómo funciona el ataque?
El ataque llevado a cabo por APT28, que no pudo comprometer la red de la Organización A mediante credenciales válidas obtenidas por difusión de contraseñas. En su lugar, los atacantes usaron la red Wi-Fi de una organización vecina para llegar a su objetivo. Utilizando un sistema «dual-homed», que tiene conexiones tanto por cable como inalámbrica, los hackers se conectaron a la red Wi-Fi de la víctima mediante credenciales robadas. Para ello, violaron una organización cercana usando RDP, y luego emplearon un script de PowerShell para acceder a la red Wi-Fi de la Organización A. Este método es similar a los ataques de «acceso cercano», pero con la diferencia de que los atacantes operaban a miles de kilómetros de distancia. También comprometieron la Organización B, utilizando su red Wi-Fi y VPN sin protección MFA. El objetivo final era encadenar estas conexiones para infiltrarse en la red de la Organización A [2].
Los atacantes utilizaron tácticas sofisticadas
El 4 de febrero de 2022, Volexity detectó actividad sospechosa en la red de la Organización A, luego de que se activara una alerta relacionada con la escritura y ejecución de archivos desde el directorio C:\ProgramData.
Se descubrió que un archivo llamado servtask.bat había ejecutado los siguientes comandos para exportar y comprimir claves del registro de Windows:
- reg save hklm\sam C:\ProgramData\sam.save
- reg save hklm\security C:\ProgramData\security.save
- reg save hklm\system C:\ProgramData\system.save
- Powershell -c “Get-ChildItem C:\ProgramData\sam.save, C:\ProgramData\security.save, C:\ProgramData\system.save ^| Compress-Archive -DestinationPath C:\ProgramData\out.zip”
Al investigar, se encontraron varios archivos comprometidos, incluyendo DefragmentSrv.zip, que, al descomprimirse, llevó a la ejecución de servtask.bat.
Además, se identificó el archivo wayzgoose52.dll en un directorio falso. Durante la recolección de evidencia, el sistema fue apagado, lo que impidió recuperar algunos datos volátiles útiles. Tras reiniciar el servidor, se descubrió que el atacante había borrado todos los archivos comprometidos y utilizado la herramienta Cipher.exe de Microsoft para eliminar de manera segura las huellas del ataque, una táctica poco común pero efectiva.
Recomendaciones
Para prevenir o detectar ataques similares, Volexity recomienda lo siguiente [3]:
- Monitoree y emita alertas sobre el uso inusual de utilidades críticas como netsh y Cipher.exe dentro de su entorno, para detectar posibles actividades maliciosas.
- Implemente reglas de detección personalizadas para identificar la ejecución de archivos desde ubicaciones no estándar, como la raíz de C:\ProgramData, que pueden indicar un intento de compromiso.
- Detecte e identifique la exfiltración de datos a través de servicios accesibles desde Internet, para evitar que los atacantes extraigan información sensible de su red.
- Aísle las redes Wi-Fi y cableadas por Ethernet en segmentos separados, especialmente cuando las redes por Ethernet brindan acceso a recursos confidenciales, para limitar el impacto de un posible ataque.
- Refuerce los requisitos de acceso para las redes Wi-Fi, implementando autenticación multifactor (MFA) o soluciones basadas en certificados para mejorar la seguridad y prevenir accesos no autorizados.
- Monitoree el tráfico de red entre dispositivos para identificar transferencias de archivos a través de SMB que contengan datos sensibles, como credenciales o subárboles del Registro (por ejemplo, ntds.dit), que son comúnmente exfiltrados por los atacantes.
Referencia:
[1] «Cyber Security News,» 23 11 2024. [En línea]. Available: https://cybersecuritynews.com/nearest-neighbor-attack/.
[2] «Cybernews,» [En línea]. Available: https://cybernews.com/security/russian-hackers-using-neighbors-wifi-to-launch-attacks/.
[3] «Volexity,» [En línea]. Available: https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack-how-a-russian-apt-weaponized-nearby-wi-fi-networks-for-covert-access/.
