Para hackers determinados, sentar em um carro do lado de fora do edifício de um alvo e usar equipamentos de rádio para invadir sua rede Wi-Fi tem sido uma técnica eficaz, mas arriscada. Esses riscos se tornaram alarmantemente claros quando espiões trabalhando para a agência de inteligência militar da Rússia, GRU, foram pegos em flagrante em uma rua da Holanda em 2018, usando uma antena escondida no porta-malas do carro para tentar hackear o Wi-Fi da Organização para a Proibição de Armas Químicas.
Desde esse incidente, no entanto, essa mesma unidade de hackers militares russos aparentemente desenvolveu uma nova e muito mais segura técnica de hackeamento via Wi-Fi: em vez de se aventurar na faixa de rádio de seu alvo, eles encontraram uma rede vulnerável em um edifício do outro lado da rua, invadiram remotamente um laptop naquele prédio vizinho e usaram a antena desse computador para acessar a rede Wi-Fi de sua vítima pretendida – um truque de hacking de rádio que nem mesmo exigiu que saíssem do solo russo.
Na conferência de segurança Cyberwarcon em Arlington, Virginia, hoje, o pesquisador de segurança cibernética Steven Adair revelará como sua empresa, Volexity, descobriu essa técnica inédita de hackeamento via Wi-Fi, que a empresa chama de ‘ataque de vizinhança mais próxima’, enquanto investigava uma violação de rede direcionada a um cliente em Washington, DC, em 2022. A Volexity, que recusou a nomear seu cliente de DC, desde então vinculou a violação ao grupo de hackers russos conhecido como Fancy Bear, APT28 ou Unidade 26165. Parte da agência de inteligência militar da Rússia, o grupo esteve envolvido em casos notórios que vão desde a violação da Comissão Nacional Democrata em 2016 até a operação de hackeamento de Wi-Fi mal sucedida na qual quatro de seus membros foram presos na Holanda em 2018.
Neste caso recém-revelado de início de 2022, a Volexity descobriu não apenas que os hackers russos haviam saltado para a rede alvo via Wi-Fi a partir de uma rede comprometida nas proximidades, mas também que essa violação anterior poderia ter sido realizada via Wi-Fi de outra rede no mesmo prédio – uma espécie de ‘corrente de violação de redes via Wi-Fi’, como descreve Adair.
‘Esse é o primeiro caso que trabalhamos onde você tem um atacante que está extremamente longe e essencialmente invadiu outras organizações nos EUA em proximidade física ao alvo pretendido, então pivotou via Wi-Fi para entrar na rede alvo do outro lado da rua’, diz Adair. ‘Esse é um vetor de ataque realmente interessante que não vimos antes.’
Adair argumenta, porém, que o caso deve servir como um aviso mais amplo sobre as ameaças cibernéticas ao Wi-Fi para alvos de alto valor – e não apenas contra os suspeitos habituais que ficam vagando no estacionamento ou no saguão. ‘Agora sabemos que um estado-nação motivado está fazendo isso e já fez’, diz Adair, ‘Isso coloca em evidência que a segurança do Wi-Fi precisa ser aumentada significativamente.’ Ele sugere que organizações que podem ser alvo de ataques remotos semelhantes via Wi-Fi considerem limitar o alcance de seu Wi-Fi, mudar o nome da rede para torná-lo menos óbvio para possíveis intrusos ou introduzir outras medidas de segurança de autenticação para limitar o acesso a funcionários.
A Volexity começou a investigar a violação da rede de seu cliente de DC nos primeiros meses de 2022, quando a empresa viu sinais de intrusões repetidas nos sistemas do cliente por hackers que cuidadosamente cobriram suas trilhas. Os analistas da Volexity eventualmente rastrearam a violação até a conta de um usuário sequestrada conectando-se a um ponto de acesso Wi-Fi em uma extremidade do edifício, em uma sala de conferências com janelas voltadas para o exterior. Adair diz que ele mesmo vasculhou a área em busca da origem daquela conexão. ‘Eu fui lá para tentar descobrir o que poderia ser. Nós olhamos para TVs inteligentes, buscamos dispositivos em armários. Tem alguém no estacionamento? É uma impressora?’ Ele diz. ‘Não encontramos nada.’.
Somente após a próxima intrusão, quando a Volexity conseguiu capturar logs mais completos do tráfego dos hackers, seus analistas resolveram o mistério: a empresa descobriu que a máquina sequestrada que os hackers estavam usando para explorar os sistemas de seu cliente estava vazando o nome do domínio em que estava hospedada – na verdade, o nome de outra organização do outro lado da rua. ‘Nesse ponto, ficou 100% claro de onde estava vindo’, diz Adair. ‘Não é um carro na rua. É o prédio ao lado.’
Com a cooperação desse vizinho, a Volexity investigou a rede da segunda organização e descobriu que um certo laptop era a origem da intrusão de Wi-Fi saltando ruas. Os hackers haviam penetrado nesse dispositivo, que estava conectado a um dock conectado à rede local via Ethernet, e depois ativaram seu Wi-Fi, permitindo que ele atuasse como um relay baseado em rádio para a rede alvo. A Volexity descobriu que, para invadir o Wi-Fi daquela rede alvo, os hackers haviam usado credenciais que de alguma forma obtiveram online, mas que aparentemente não conseguiram explorar em outro lugar, provavelmente devido à autenticação de dois fatores.
A Volexity acabou rastreando os hackers naquela segunda rede até dois possíveis pontos de intrusão. Os hackers pareciam ter comprometido um aparelho VPN pertencente à outra organização. Mas também haviam invadido o Wi-Fi da organização a partir de dispositivos de outra rede no mesmo prédio, sugerindo que os hackers podem ter encadeado até três redes via Wi-Fi para chegar ao seu alvo final. ‘Quem sabe quantos dispositivos ou redes eles comprometeram e estavam fazendo isso’, diz Adair.
Na verdade, mesmo depois que a Volexity expulsou os hackers da rede de seu cliente, os hackers tentaram novamente aquela primavera para invadir via Wi-Fi, desta vez tentando acessar recursos que estavam compartilhados na rede Wi-Fi de convidados. ‘Esses caras eram extremamente persistentes’, diz Adair. Ele diz que a Volexity conseguiu detectar essa próxima tentativa de violação, no entanto, e rapidamente trancou os intrusos.
A Volexity presumiu desde o início de sua investigação que os hackers eram de origem russa devido ao seu direcionamento a funcionários individuais da organização cliente focada na Ucrânia. Então, em abril, dois anos após a intrusão original, a Microsoft alertou sobre uma vulnerabilidade no spooler de impressão do Windows que havia sido usada pelo grupo de hackers APT28 da Rússia – a Microsoft se refere ao grupo como Forest Blizzard – para obter privilégios administrativos em máquinas alvo. Restos deixados na primeira máquina que a Volexity havia analisado na violação baseada em Wi-Fi de seu cliente correspondiam exatamente àquela técnica. ‘Era uma correspondência exata’, diz Adair.
A noção de que a APT28 estaria por trás do hackeamento via Wi-Fi encadeado faz sentido, diz John Hultquist, fundador do Cyberwarcon que também lidera a inteligência de ameaças na empresa de segurança cibernética Mandiant, de propriedade do Google, e que há muito acompanha os hackers da GRU. Ele vê a técnica que a Volexity descobriu como a evolução natural dos métodos de hackeamento ‘close-access’ da APT28, nos quais a GRU enviou pequenas equipes de viagem pessoalmente para hackear redes alvo via Wi-Fi se outros métodos falhassem.
‘Este é essencialmente uma operação de close-access como elas já fizeram no passado, mas sem o close access’, afirma Hultquist.
A mudança para hackear via Wi-Fi de um dispositivo comprometido remotamente, em vez de colocar fisicamente um espião nas proximidades, representa um próximo passo lógico após o desastre de segurança operacional da GRU em 2018, quando seus hackers foram pegos em um carro em Haia tentando hackear a Organização para a Proibição de Armas Químicas em resposta à investigação da OPCW sobre a tentativa de assassinato do desertor da GRU, Sergei Skripal. Nesse incidente, a equipe da APT28 foi presa e seus dispositivos foram apreendidos, revelando suas viagens pelo mundo de um ponto ao outro, desde o Brasil até a Malásia, para realizar ataques semelhantes de acesso próximo.
‘Se um alvo é importante o suficiente, eles estão dispostos a enviar pessoas pessoalmente. Mas você não precisa fazer isso se puder encontrar uma alternativa como o que estamos vendo aqui’, diz Hultquist. ‘Isso é potencialmente uma grande melhoria para essas operações, e é algo que provavelmente veremos mais – se já não o vimos.’