26 nov 2024

Ataque al vecino más cercano: utilizar redes Wi-Fi para obtener acceso encubierto

Hackers rusos desarrollaron una técnica nunca antes vista para acceder a un sistema remoto. El grupo APT28, también conocido como Fancy Bear, ejecutó un ataque sin precedentes saltando de una red Wi-Fi a otra para controlar un portátil. El hackeo se llevó a cabo hace dos años en Washington, D.C., el distrito en donde se ubica la Casa Blanca y el Capitolio de Estados Unidos.

De acuerdo con Wired, este ataque dejó al descubierto las nuevas técnicas que utilizan los hackers rusos. El grupo APT28, ligado al Departamento Central de Inteligencia del Kremlin, efectuó un hackeo para acceder a un ordenador portátil con contenido clave para la guerra de Ucrania. La particularidad de este ataque es que actores consiguieron saltar entre múltiples redes Wi-Fi hasta llegar a su objetivo.

La técnica, conocida como "nearest neighbor attack", ha sido documentada por Steven Adair, un experto en ciberseguridad que descubrió el hackeo mientras realizaba un trabajo en Washington. En una entrada publicada en la web de Volexity, Adair explica que el grupo de hackers violó la seguridad del portátil a través de un ataque de conexión en cadena, en el cual vulneró múltiples redes Wi-Fi. Lo más impresionante es que todo se orquestó a miles de kilómetros de distancia, en una ubicación no revelada de Rusia.

A primera vista, la técnica de APT28 parece sacada de una película de ciencia ficción. El objetivo del grupo era recopilar datos de personas con experiencia y proyectos que involucraban a Ucrania. El ataque se llevó a cabo a principios de 2022, semanas antes de que Rusia invadiera al país vecino y comenzara una guerra que ya cumplió 1.000 días.

Según la descripción del experto, los hackers utilizaron un ordenador ubicado al otro lado de la calle para acceder a su víctima. A diferencia de otros ataques en los que un hacker está físicamente en el lugar, el grupo vulneró un equipo intermedio a distancia y lo operó como si fuera un titiritero. A través de este ordenador se conectaría a la misma red Wi-Fi de la víctima y extraería la información.

Para conseguirlo, los hackers comprometieron la red de una empresa ubicada en un edificio cercano a la víctima. Posteriormente, buscaron un ordenador con puerto Ethernet y tarjeta de red inalámbrica, un paso indispensable para poder conectarse a distancia a la red empresarial del objetivo. Una vez ubicado, tomaron control del PC y vulneraron la red Wi-Fi de la víctima para acceder a su sistema.

Si te preguntas por qué fue necesario un ordenador intermedio, la respuesta tiene que ver con la autenticación en dos pasos (2FA). El grupo de hackers obtuvo el nombre de usuario y contraseña de su víctima, sin embargo, no podía conectarse al sistema porque requería 2FA. Los atacantes descubrieron que el único modo de saltarse este requisito era conectarse físicamente desde la red empresarial, por lo que violaron la seguridad de otra empresa cercana y se conectaron desde ahí.

El investigador comenta que su empresa llevó a cabo una investigación y descubrió que los hackers de APT28 consiguieron las contraseñas de varios usuarios en enero, pero era imposible acceder a la red sin autenticarse en dos pasos o hacerlo desde el sitio. Mientras seguía los rastros del ataque, Adair descubrió que los rusos accedieron a una tercera empresa desde la cual se conectaron al ordenador intermedio y posteriormente rompieron la seguridad de la red Wi-Fi de invitados de la víctima.

Aunque el grupo no se adjudicó el ataque, algunos archivos descubiertos en la investigación coinciden con otros ataques que ha llevado a cabo. Fancy Bear es responsable del hackeo al Partido Demócrata durante las elecciones de 2016, las redes del parlamento alemán (Bundestag) en 2015 y el ataque a TV5 Monde, la cadena de televisión francesa.

Fuente: Hipertextual | Wired

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!