Barracuda full logo

Rischi remoti e reti porta a porta: L'anatomia di un attacco al vicino più prossimo

Argomenti:
24 apr 2025
|
Doug Bonderud

Nel febbraio 2022 il gruppo di minacce statale russo APT28, noto anche come Fancy Bear, Forest Blizzard e GrusomeLarch, ha attaccato una società statunitense con legami con l'Ucraina.

Il movente era familiare: raccolta di informazioni. Il metodo, tuttavia, era nuovo — un nuovo approccio che combinava rischi remoti con reti vicine. Conosciuto come un attacco del vicino più prossimo, è un campanello d'allarme per le aziende che bloccano le porte digitali ma lasciano aperte le finestre Wi-Fi.

In questo articolo, analizzeremo le basi di un attacco del vicino più prossimo, esploreremo la compromissione di APT28 e offriremo suggerimenti per aiutare le aziende a rimanere sicure.

Cos'è un attacco del vicino più prossimo?

Un attacco del vicino più prossimo non prende di mira direttamente le vittime designate. Invece, gli attori maligni compromettono la sicurezza digitale delle aziende vicine e poi utilizzano dispositivi abilitati al Wi-Fi per rilevare e connettersi alle reti bersaglio.

Questo tipo di attacco funziona perché il Wi-Fi è intrinsecamente locale, con segnali che raggiungono solo una breve distanza oltre i confini fisici di un'azienda — appena abbastanza per essere rilevati dai dispositivi vicini. E mentre le aziende sono sempre più diligenti riguardo alla protezione visibile al pubblico, spesso sono meno preoccupate per le reti Wi-Fi dato il loro minor impatto digitale. Di conseguenza, molte reti Wi-Fi richiedono solo credenziali di accesso e password per essere utilizzate.

Il risultato è una finestra di opportunità per gli aggressori. Invece di tentare di compromettere reti aziendali ben protette, si fanno strada con attacchi brutali verso vicini scarsamente difesi. Una volta dentro, trovano un dispositivo dual-homed — uno che ha connessioni sia cablate che wireless — e usano questo dispositivo per cercare la rete Wi-Fi del loro obiettivo. Da lì, sfruttano le credenziali rubate per ottenere accesso ed esfiltrare dati protetti.

Dal punto di vista delle potenziali vittime, l'attacco è difficile da rilevare e ancora più difficile da tracciare. Poiché le reti Wi-Fi sono state accessibili utilizzando credenziali legittime e non ci sono prove di manomissioni fisiche o digitali, i team IT devono aspettare che gli attacchi siano in corso per catturare i dati del segnale e determinare il punto di origine.

Anatomia dell'attacco APT28

Come la maggior parte degli aggressori, gli attori statali russi preferiscono il percorso più semplice per compromettere: acquistare o rubare credenziali di accesso. Se questo non funziona — nell'attacco del 2022, la rete target era protetta da autenticazione multifattoriale (MFA) — spesso passano al compromesso del Wi-Fi locale. Gli agenti sono stati sorpresi sul fatto con antenne nascoste mentre tentavano di eseguire hack in loco.  

Per ridurre il rischio e coprire le loro tracce, APT28 ha provato un approccio diverso. Invece di nascondersi in auto o aggirarsi nei parchi vicini, gli attaccanti hanno cercato reti vicine che non utilizzavano MFA. Quindi, hanno utilizzato attacchi di credential-stuffing per compromettere queste reti, individuare dispositivi dual-home e accedere al Wi-Fi target che non era protetto da MFA. Questo ha permesso ad APT28 di utilizzare credenziali precedentemente rubate senza preoccuparsi di ulteriori controlli di sicurezza.

Come notato da Dark Reading, gli aggressori hanno adottato un approccio living-off-the-land per evitare il rilevamento. Hanno creato uno script PowerShell personalizzato per trovare ed esaminare le reti Wi-Fi disponibili e hanno utilizzato strumenti di Windows come Cipher.exe per spostarsi lateralmente attraverso le reti. Il risultato è stato un attacco che sembrava provenire dall'interno dell'edificio ma è stato condotto a migliaia di chilometri di distanza.

Tre modi per ridurre il rischio del vicino

Gli attacchi del vicino di casa dirottano le reti Wi-Fi adiacenti per sviare i difensori. Più tempo impiegano i team di sicurezza a individuare la fonte della compromissione, più tempo hanno gli attori malintenzionati per esaminare i database e rubare dati critici.

Ecco tre modi per ridurre il rischio di interazioni negative con i vicini:

1. Usa password migliori

Come notato sopra, gli aggressori russi hanno utilizzato il credential stuffing per compromettere le aziende vicine. Utilizzando password migliori — CISA suggerisce password che contengano almeno 16 caratteri, siano casuali e uniche per un solo account — e cambiando regolarmente queste password, le aziende possono ridurre il rischio di essere un cattivo vicino. 

2. Implementare MFA a livello di rete

Il Wi-Fi senza MFA ha fornito agli attori malintenzionati il punto di accesso di cui avevano bisogno per utilizzare credenziali rubate. Implementando l'autenticazione multifattoriale su tutte le reti aziendali, le aziende possono ostacolare gli sforzi degli aggressori.

Secondo CISA, tuttavia, alcuni tipi di MFA sono migliori di altri. Ad esempio, mentre l'MFA tramite messaggio di testo (SMS) offre maggiore protezione agli utenti, questi messaggi possono essere intercettati dagli aggressori. Le notifiche push basate su app o le password monouso (OTP), invece, offrono una difesa migliorata. Strumenti resistenti al phishing come FIDO, che sfrutta l'infrastruttura a chiave pubblica, sono considerati i più sicuri.

3. Crea reti separate

Le reti Wi-Fi possono fungere da trampolini laterali per gli aggressori per accedere alle connessioni cablate, il che a sua volta può consentire l'accesso a risorse protette. Per ridurre questo rischio, le aziende possono costruire ambienti di rete separati. Questo significa che compromettere il Wi-Fi non sarà sufficiente — gli aggressori dovranno comunque superare i controlli MFA se vogliono accedere alle reti cablate.

Ecco che il quartiere cambia

I buoni vicini sono educati, rispettosi e non cercano di rubare i segreti aziendali. Gli attori maligni, tuttavia, possono ora dirottare reti vicine scarsamente protette per compromettere le connessioni Wi-Fi e eludere le difese digitali, aggiungendo un elemento di rischio a quartieri altrimenti tranquilli.

Mantenere le strade digitali sicure significa riconoscere i potenziali punti di compromesso, come il Wi-Fi non protetto da MFA o password facilmente indovinabili che possono essere utilizzate in attacchi di credential stuffing. Adottando un approccio alla sicurezza dell'intera rete che considera tutti i componenti come ugualmente e potenzialmente insicuri, le aziende possono creare ambienti coerenti che lasciano gli attaccanti all'esterno a guardare dentro.

Iscriviti al blog di Barracuda
Doug Bonderud

Doug Bonderud è uno scrittore pluripremiato con il talento di colmare il divario tra complessità e conversazione nei settori della tecnologia, dell'innovazione e della condizione umana.

Post correlati:
August’s top threat actors: Ransomware, espionage and infostealers
August’s top threat actors: Ransomware, espionage and infostealers
 Malware Brief: Crafty phishing, BYOVD and Android RATs
Malware Brief: Crafty phishing, BYOVD and Android RATs
 Survey sees global decline in data breach costs
Survey sees global decline in data breach costs
 WolfGPT: The “Upgraded” Dark AI for Malware
WolfGPT: The “Upgraded” Dark AI for Malware
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.