Bl0ckch41nnewsAtaque al vecino más cercano: utilizar redes Wi-Fi para obtener acceso encubierto
Hackers rusos desarrollaron una técnica nunca antes vista para acceder a un
sistema remoto. El grupo APT28, también conocido como Fancy Bear, ejecutó un
ataque sin precedentes saltando de una red Wi-Fi a otra para controlar un
portátil. El hackeo se llevó a cabo hace dos años en Washington, D.C., el
distrito en donde se ubica la Casa Blanca y el Capitolio de Estados Unidos.
De acuerdo con
Wired, este ataque dejó al descubierto las nuevas técnicas que utilizan los
hackers rusos. El grupo APT28, ligado al Departamento Central de Inteligencia
del Kremlin, efectuó un hackeo para acceder a un ordenador portátil con
contenido clave para la guerra de Ucrania. La particularidad de este ataque es
que actores consiguieron saltar entre múltiples redes Wi-Fi hasta llegar a su
objetivo.
La técnica, conocida como
«nearest neighbor attack», ha sido documentada por Steven Adair, un experto en ciberseguridad que
descubrió el hackeo mientras realizaba un trabajo en Washington. En
una entrada publicada en la web de Volexity, Adair explica que el grupo de hackers violó la seguridad del portátil a
través de un ataque de conexión en cadena, en el cual vulneró múltiples redes
Wi-Fi. Lo más impresionante es que todo se orquestó a miles de kilómetros de
distancia, en una ubicación no revelada de Rusia.
A primera vista, la técnica de APT28 parece sacada de una película de ciencia
ficción. El objetivo del grupo era recopilar datos de personas con experiencia
y proyectos que involucraban a Ucrania. El ataque se llevó a cabo a principios
de 2022, semanas antes de que Rusia invadiera al país vecino y comenzara una
guerra que ya cumplió 1.000 días.
Según la descripción del experto, los hackers utilizaron un ordenador ubicado
al otro lado de la calle para acceder a su víctima. A diferencia de otros
ataques en los que un hacker está físicamente en el lugar, el grupo vulneró un
equipo intermedio a distancia y lo operó como si fuera un titiritero. A través
de este ordenador se conectaría a la misma red Wi-Fi de la víctima y extraería
la información.
Para conseguirlo, los hackers comprometieron la red de una empresa ubicada en
un edificio cercano a la víctima. Posteriormente, buscaron un ordenador con
puerto Ethernet y tarjeta de red inalámbrica, un paso indispensable para poder
conectarse a distancia a la red empresarial del objetivo. Una vez ubicado,
tomaron control del PC y vulneraron la red Wi-Fi de la víctima para acceder a
su sistema.
Si te preguntas por qué fue necesario un ordenador intermedio, la respuesta
tiene que ver con la autenticación en dos pasos (2FA). El grupo de hackers
obtuvo el nombre de usuario y contraseña de su víctima, sin embargo, no podía
conectarse al sistema porque requería 2FA. Los atacantes descubrieron que el
único modo de saltarse este requisito era conectarse físicamente desde la red
empresarial, por lo que violaron la seguridad de otra empresa cercana y se
conectaron desde ahí.
El investigador comenta que su empresa llevó a cabo una investigación y
descubrió que los hackers de APT28 consiguieron las contraseñas de varios
usuarios en enero, pero era imposible acceder a la red sin autenticarse en dos
pasos o hacerlo desde el sitio. Mientras seguía los rastros del ataque, Adair
descubrió que los rusos accedieron a una tercera empresa desde la cual se
conectaron al ordenador intermedio y posteriormente rompieron la seguridad de
la red Wi-Fi de invitados de la víctima.
Aunque el grupo no se adjudicó el ataque, algunos archivos descubiertos en la
investigación coinciden con otros ataques que ha llevado a cabo.
Fancy Bear es responsable del hackeo al Partido Demócrata
durante las elecciones de 2016, las redes del parlamento alemán (Bundestag) en
2015 y el ataque a TV5 Monde, la cadena de televisión francesa.
Fuente:
Hipertextual | Wired
Los comentarios están cerrados.