Un sofisticado ataque de ciberespionaje utilizado por la notoria Amenaza Persistente Avanzada (APT) rusa oso de fantasía al comienzo de la actual guerra entre Rusia y Ucrania demuestra un nuevo vector de ataque que un actor de amenazas puede utilizar para infiltrarse de forma remota en la red de una organización remota comprometiendo una red Wi-Fi cercana a esa organización: esto.
Fancy Bear (también conocido como APT28 o Forest Blizzard) pirateó la red de una organización estadounidense utilizando este método, que los investigadores de Volexity denominan ataque de “vecino más cercano”.
“El actor de amenazas logró esto conectando su enfoque en serie, para comprometer a múltiples organizaciones cercanas a su objetivo, la Organización A”. Investigadores de volexidad Sean Koessel, Steven Adair y Tom Lancaster escribieron en un artículo detallando el ataque. “Esto fue hecho por un actor amenazador que estaba a miles de kilómetros y a un océano de distancia de la víctima”.
El hackeo demostró “una nueva clase de ataque” que permite a un atacante que se encuentra tan lejos del objetivo previsto utilizar el método Wi-Fi, dijeron los investigadores. Pistas de volexidad oso de fantasía – parte de la Dirección Principal de Inteligencia (GRU) del Estado Mayor ruso que ha sido un adversario activo durante al menos 20 años – como “GruesomeLarch”, uno de los Los muchos nombres de APT.
Volexity descubrió el ataque por primera vez justo antes de la invasión rusa de Ucrania en febrero de 2022, cuando una firma de detección implementada por Volexity en el sitio de un cliente indicó un servidor comprometido. En última instancia, los investigadores determinaron que Fancy Bear utilizó el ataque “para recopilar datos de personas con experiencia y proyectos que involucran activamente a Ucrania” en la organización con sede en Washington, D.C.
Un ciberataque encadenado a través de varias organizaciones
El ataque implicó oso de fantasía Realice ataques de relleno de credenciales para comprometer dos o más redes Wi-Fi en proximidad física al objetivo. Luego, el atacante usó las credenciales para comprometer la organización porque los ataques de relleno de credenciales por sí solos no podían comprometer la red de la organización objetivo debido al uso de autenticación multifactor (MFA), según Volexity.
“Sin embargo, la red Wi-Fi no estaba protegida por MFA, lo que significa que la proximidad a la red objetivo y las credenciales válidas eran los únicos requisitos para conectarse”, escribieron los investigadores.
En última instancia, la investigación reveló “hasta dónde está dispuesto a llegar un actor de amenazas creativo, ingenioso y motivado para lograr sus objetivos de ciberespionaje”, escribieron.
Durante una larga investigación, Volexity trabajó no solo con la organización objetivo, sino también con otras dos organizaciones (también conocidas como Organizaciones B y C) que fueron violadas para finalmente alcanzar el objetivo.
Al final, Volexity descubrió una estructura de ataque para piratear la Organización A que estaba usando credenciales privilegiadas para conectarse a ella a través del Protocolo de escritorio remoto (RDP) desde otro sistema dentro de la red de la Organización B.
“Este sistema tenía doble alojamiento y estaba conectado a Internet a través de Ethernet por cable, pero también tenía un adaptador de red Wi-Fi que podía usarse al mismo tiempo”, explicaron los investigadores en su artículo. “El atacante encontró este sistema y utilizó un script de PowerShell personalizado para examinar las redes disponibles dentro del alcance de su red inalámbrica, luego se conectó al Wi-Fi corporativo de la Organización A usando “credenciales que había comprometido”.
Además, la APT también utilizó dos modos para acceder a la red de la Organización B para penetrar el objetivo final, encontraron los investigadores. La primera fue utilizar credenciales obtenidas mediante pulverización de contraseñas que les permitieran conectarse a la VPN de la organización, que no estaba protegida por MFA. Volexity también encontró evidencia de que el atacante se había conectado al Wi-Fi de la Organización B desde otra red propiedad de la vecina Organización C, lo que demuestra el enfoque de cadena del ataque, dijeron los investigadores.
Durante todo el ataque, oso de fantasía adoptó un enfoque de vivir de la tierra, aprovechando los protocolos estándar de Microsoft y moviéndose lateralmente en toda la organización. Los investigadores descubrieron que una herramienta en particular que utilizaron especialmente fue una herramienta integrada de Windows, Cipher.exe, que viene con todas las versiones modernas de Windows.
Cuidado con tus vecinos (Wi-Fi)
Porque el ataque pone de relieve un nuevo riesgo de compromiso para las organizaciones a través de Wi-Fi Incluso si un atacante es remoto, los defensores “deben pensar más en los riesgos que las redes Wi-Fi pueden presentar para su seguridad operativa” y tratarlas “con el mismo cuidado y atención que otros servicios de acceso remoto, como los servicios privados virtuales”. . redes (VPN)”, observaron los investigadores.
Las recomendaciones para que las organizaciones eviten un ataque de este tipo incluyen la creación de entornos de red separados para las redes Wi-Fi y Ethernet, especialmente cuando las redes Ethernet brindan acceso a recursos confidenciales. También deberían considerar fortalecer los requisitos para el acceso a redes Wi-Fi, por ejemplo haciendo cumplir los requisitos MFA para autenticación o soluciones basadas en certificados.
Para detectar un ataque similar una vez que el actor malicioso está presente en la red, las organizaciones deberían considerar monitorear y colocar una alerta por el uso anormal de las utilidades comunes netsh y Cipher.exe. Los defensores también pueden crear reglas de detección personalizadas para buscar archivos que se ejecutan desde varias ubicaciones no estándar, como la raíz de C:\ProgramData\, y mejorar la detección de la filtración de datos de los servicios de Internet que se ejecutan en un entorno.