Hackers russos invadiram organização dos EUA via Wi-Fi

Forest Blizzard, um grupo hacker russo invadiu repetidamente uma organização baseada nos EUA através de sistemas de computador comprometidos de empresas próximas, que eles utilizaram para se autenticar na rede Wi-Fi empresarial do alvo.

Os ataques repetidos A Volexity, uma empresa que se especializa em ajudar organizações a detectar e expulsar intrusos de nível de estado-nação de seus sistemas e redes, disse que os atacantes foram vistos pela primeira vez em um servidor na rede da organização dos EUA no início de fevereiro de 2022, tentando exfiltrar colmeias de registro sensíveis após terem obtido acesso ao fazer login (via RDP) com uma conta de usuário sem privilégios.

Sua investigação revelou que antes disto, os atacantes realizaram ataques de pulverização de senha contra os serviços web voltados para a internet da organização para descobrir credenciais de login válidas. No entanto, eles não podiam usá-las diretamente, porque a autenticação de múltiplos fatores (MFA) estava implementada.

"A rede Wi-Fi corporativa, no entanto, não exigia MFA e requeria apenas o nome de usuário e a senha válidos do domínio do usuário para autenticar. Enquanto isso, o ator de ameaça estava do outro lado do mundo e não poderia realmente se conectar à rede Wi-Fi corporativa [da organização alvo]," compartilharam Sean Koessel, Steven Adair e Tom Lancaster da Volexity.

Eles resolveram o problema por:

• Invadindo o sistema de uma organização próxima

• Movendo-se lateralmente dentro dessa organização para encontrar sistemas acessíveis que estão conectados à rede via uma conexão Ethernet com fio e têm um adaptador Wi-Fi

• Usando esse adaptador Wi-Fi para se conectar ao Wi-Fi da organização alvo e autenticar usando credenciais que haviam comprometido anteriormente através de ataques de pulverização de senha.

Essa organização próxima foi invadida ao utilizar credenciais de VPN roubadas – elas não tinham MFA habilitado nessas contas. Os atacantes também usaram a técnica descrita anteriormente para acessar o Wi-Fi corporativo dessa segunda organização a partir de um sistema comprometido de uma terceira organização próxima.

E após serem expulsos, os atacantes voltaram e comprometeram um sistema conectado à rede Wi-Fi de convidados da organização alvo, que acabou não estar completamente isolada da rede corporativa com fio.

"Usando o método de Ataque do Vizinho Mais Próximo, o atacante foi capaz de criar uma cadeia de invasões de organização em organização sem nunca implantar malware, usando apenas credenciais de usuário válidas como método de acesso. O atacante então focou em usar técnicas de 'living-of-the-land' para evitar a implantação de malware e evadir a detecção por produtos EDR," observou a empresa.

O grupo usou ferramentas integradas do Windows como VSSAdmin para criar uma cópia de sombra do volume, e Cipher, para sobrescrever arquivos deletados que eles tinham escrito no disco durante o ataque.

Organizações, protejam seu Wi-Fi Em 2024, após a Microsoft compartilhar informações sobre uma ferramenta pós-comprometimento chamada GooseEgg que o grupo havia usado em outros ataques, a Volexity foi capaz de ligar essas intrusões ao Forest Blizzard (também conhecido como APT28, ou GruesomeLarch).

Com este método de ataque inteligente, o grupo conseguiu se conectar à rede Wi-Fi corporativa da organização alvo sem que um de seus membros precisasse estar fisicamente próximo para fazê-lo.

"Um esforço significativo nos últimos anos foi colocado na redução da superfície de ataque onde serviços voltados para a internet foram seguros com MFA ou removidos completamente. Este ataque foi possível devido a um nível mais baixo de controles de segurança em sistemas Wi-Fi alvos em comparação com outros recursos, como e-mail ou VPN," explicou a Volexity.

As organizações devem considerar tornar o acesso às suas redes Wi-Fi mais seguro, exigindo o uso de múltiplos fatores de autenticação ou utilizando certificados de autenticação.

Via - HS