Investigadores da empresa de cibersegurança Volexity identificaram uma nova técnica de ciberataque utilizado pelo grupo GruesomeLarch, apoiado pelo governo russo, e conhecido também como APT28 ou Fancy Bear.

A nova técnica é sofisticada e foi denominada de “Nearest Neighbor Attack” pela Volexity, empresa que descobriu o ataque em fevereiro de 2022, antes da invasão russa da Ucrânia.

Segundo a Volexity, a nova técnica permitiu aos piratas informáticos obter acesso não autorizado à rede de uma organização a milhares de quilómetros de distância, sem estarem fisicamente presentes e explorando as redes Wi-Fi de empresas vizinhas.

O ataque visou uma organização não identificada pela Volexity (referida como “Organização A”) com conhecimentos especializados e projetos relacionados com a Ucrânia, explica a empresa num post bastante detalhado no seu blog.

Os hackers utilizaram uma abordagem em várias etapas para obter acesso à rede do alvo. Primeiro comprometeram credenciais de utilizadores via ataques “password spray” à Organização A.

Não foram, no entanto, capazes de contornar a autenticação multifator (MFA) nos serviços que utilizam a Internet, pelo que os piratas informáticos se concentraram na rede Wi-Fi empresarial da organização, que apenas exigia um nome de utilizador e uma palavra-passe. Em seguida, para se ligarem à rede Wi-Fi da Organização A, os atacantes comprometeram sistemas em edifícios próximos, procurando computadores com ligações com e sem fios.

Já na rede, os piratas informáticos utilizaram técnicas de sobrevivência “living-off-the-land”, tirando partido das ferramentas nativas do Windows para evitar a deteção (Cipher.exe).

Os piratas informáticos conseguiram explorar uma vulnerabilidade na rede Wi-Fi para convidados da Organização A, que não estava completamente isolada da rede com fios da empresa. Isto permitiu-lhes entrar na rede principal e aceder a dados de elevado valor, explica a Volexity.

O Nearest Neighbor Attack foi considerado uma nova classe de ciberameaças, que combina os benefícios da proximidade física com a capacidade de operar a uma grande distância.

À medida que as organizações continuam a reforçar as suas defesas na Internet, os atacantes encontram formas criativas de explorar vulnerabilidades negligenciadas em redes Wi-Fi e sistemas adjacentes, explica a Volexity, pelo que é fundamental uma monitorização constante de redes corporativas para detetar atividades maliciosas.