Barracuda full logo

Riscos remotos e redes vizinhas: A anatomia de um ataque ao vizinho mais próximo

Tópicos:
24 abr. 2025
|
Doug Bonderud

Em fevereiro de 2022 grupo de ameaças do estado russo APT28, também chamado de Fancy Bear, Forest Blizzard e GrusomeLarch, atacou uma empresa dos EUA com ligações à Ucrânia.

O motivo era familiar: recolha de informações. O método, no entanto, era inovador — uma nova abordagem que combinava riscos remotos com redes vizinhas. Conhecido como um ataque nearest neighbor, é um alerta para as empresas que trancam portas digitais mas deixam janelas Wi-Fi abertas.

Neste artigo, vamos analisar os fundamentos de um ataque de vizinho mais próximo, explorar o comprometimento do APT28 e oferecer dicas para ajudar as empresas a manterem-se seguras.

O que é um ataque do vizinho mais próximo?

Um ataque de vizinhança não visa diretamente as vítimas pretendidas. Em vez disso, atores maliciosos comprometem a segurança digital de empresas próximas e depois usam dispositivos com Wi-Fi para detectar e conectar-se a redes alvo.

Este tipo de ataque funciona porque o Wi-Fi é intrinsecamente local, com sinais que alcançam apenas uma curta distância além das fronteiras físicas de uma empresa — apenas o suficiente para serem detectados por dispositivos na porta ao lado. E embora as empresas sejam cada vez mais diligentes em relação à proteção voltada para o público, muitas vezes estão menos preocupadas com as redes Wi-Fi, dado o seu menor rasto digital. Como resultado, muitas redes Wi-Fi exigem apenas credenciais de login e senha para acesso.

O resultado é uma janela de oportunidade para os atacantes. Em vez de tentarem comprometer redes corporativas bem protegidas, forçam a entrada em vizinhos mal defendidos. Uma vez dentro, encontram um dispositivo dual-homed — um que possui conexões com e sem fios — e usam este dispositivo para procurar a rede Wi-Fi do alvo. A partir daí, utilizam credenciais roubadas para obter acesso e exfiltrar dados protegidos.

Do ponto de vista das potenciais vítimas, o ataque é difícil de detetar e ainda mais difícil de rastrear. Como as redes Wi-Fi foram acedidas usando credenciais legítimas e não há evidências de manipulação física ou digital, as equipas de TI têm de esperar até que os ataques estejam em curso para capturar dados de sinal e determinar o ponto de origem.

Anatomia do ataque APT28

Como a maioria dos atacantes, os atores estatais russos preferem o caminho mais simples para comprometer: comprar ou roubar credenciais de acesso. Se isso não funcionar — no ataque de 2022, a rede alvo estava protegida por autenticação multifator (MFA) — muitas vezes recorrem ao comprometimento de Wi-Fi local. Os agentes foram apanhados em flagrante com antenas escondidas enquanto tentavam hacks no local.

Para reduzir o risco e encobrir o rasto, a APT28 tentou uma abordagem diferente. Em vez de se esconderem em carros ou espreitarem em parques próximos, os atacantes procuraram redes próximas que não utilizavam MFA. Depois, usaram ataques de credential-stuffing para comprometer estas redes, localizar dispositivos dual-home e aceder a Wi-Fi alvo que não estava protegido por MFA. Isto permitiu à APT28 utilizar credenciais previamente roubadas sem se preocuparem com verificações de segurança adicionais.

Conforme observado por Dark Reading, os atacantes adotaram uma abordagem living-off-the-land para evitar a deteção. Criaram um script PowerShell personalizado para encontrar e examinar redes Wi-Fi disponíveis, e usaram ferramentas do Windows como o Cipher.exe para se mover lateralmente através das redes. O resultado foi um ataque que aparentemente veio de dentro do edifício, mas foi realizado a milhares de quilómetros de distância.

Três maneiras de reduzir o risco do vizinho

Ataques do vizinho mais próximo sequestram redes Wi-Fi próximas para desviar os defensores do caminho. Quanto mais tempo as equipas de segurança demoram a identificar a fonte da violação, mais tempo os atores maliciosos têm para procurar em bases de dados e roubar dados críticos.

Aqui estão três maneiras de reduzir o risco de interações negativas com os vizinhos:

1. Use melhores passwords

Conforme mencionado acima, os atacantes russos usaram stuffing de credenciais para comprometer negócios próximos. Ao usar melhores palavras-passe — CISA sugere palavras-passe que contenham pelo menos 16 caracteres, sejam aleatórias e únicas para uma conta — e ao mudar regularmente essas palavras-passe, as empresas podem reduzir o risco de serem um mau vizinho.

2. Implementar MFA em toda a rede

O Wi-Fi sem MFA deu aos atores maliciosos o ponto de acesso necessário para usar credenciais roubadas. Ao implementar a autenticação multifator nas redes corporativas, as empresas podem frustrar os esforços dos atacantes.

De acordo com CISA, no entanto, alguns tipos de MFA são melhores do que outros. Por exemplo, enquanto o MFA por mensagem de texto (SMS) oferece mais proteção para os utilizadores, essas mensagens podem ser intercetadas por atacantes. Notificações push baseadas em aplicações ou palavras-passe de uso único (OTPs), por outro lado, oferecem uma defesa melhorada. Ferramentas resistentes a phishing, como o FIDO, que utiliza infraestrutura de chave pública, são consideradas as mais seguras.

3. Criar redes separadas

As redes Wi-Fi podem atuar como trampolins laterais para que os atacantes acedam a ligações com fios, o que, por sua vez, pode permitir o acesso a recursos protegidos. Para reduzir este risco, as empresas podem construir ambientes de rede separados. Isto significa que comprometer o Wi-Fi não será suficiente — os atacantes ainda precisarão passar por verificações de MFA se quiserem aceder às redes com fios.

Lá se vai o bairro

Bons vizinhos são educados, respeitadores e não tentam roubar segredos empresariais. No entanto, atores maliciosos podem agora sequestrar redes vizinhas mal protegidas para comprometer ligações Wi-Fi e evadir defesas digitais, acrescentando um elemento de risco a bairros de outra forma pacíficos.

Manter as ruas digitais seguras significa reconhecer potenciais pontos de comprometimento, como Wi-Fi desprotegido por MFA ou senhas facilmente adivinháveis que podem ser usadas em ataques de stuffing de credenciais. Ao adotar uma abordagem de segurança de toda a rede que trata todos os componentes como igualmente e potencialmente inseguros, as empresas podem criar ambientes consistentes que deixam os atacantes do lado de fora a observar.

Subscreva o Blogue Barracuda
Doug Bonderud

Doug Bonderud é um escritor premiado com talento para fazer a ponte entre o complexo e o conversacional em tecnologia, inovação e a condição humana.

Artigos Relacionados:
August’s top threat actors: Ransomware, espionage and infostealers
August’s top threat actors: Ransomware, espionage and infostealers
 Resumo de Malware: Phishing astuto, BYOVD e RATs Android
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
 Inquérito vê declínio global nos custos de violação de dados
Inquérito vê declínio global nos custos de violação de dados
 WolfGPT: A "IA Avançada" para Malware
WolfGPT: A "IA Avançada" para Malware
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.