Análisis de la Intrusión de Volexity
Solo después de la siguiente intrusión, cuando Volexity logró obtener registros más completos del tráfico de los hackers, sus analistas resolvieron el misterio: la empresa descubrió que la máquina secuestrada que los hackers estaban utilizando para explorar los sistemas de su cliente estaba filtrando el nombre del dominio en el que estaba alojada, de hecho, el nombre de otra organización justo al otro lado de la calle. “En ese momento, estaba 100 por ciento claro de dónde venía”, dice Adair. “No es un coche en la calle. Es el edificio de al lado.”
Colaboración y Descubrimiento de Volexity
Con la cooperación de ese vecino, Volexity investigó la red de la segunda organización y encontró que una cierta laptop era la fuente de la intrusión de Wi-Fi. Los hackers habían penetrado ese dispositivo, que estaba conectado a un dock conectado a la red local a través de Ethernet, y luego encendieron su Wi-Fi, lo que le permitió actuar como un relé basado en radio hacia la red objetivo. Volexity descubrió que, para infiltrarse en el Wi-Fi de ese objetivo, los hackers habían utilizado credenciales que de alguna manera habían obtenido en línea, pero que aparentemente no habían podido explotar en otro lugar, probablemente debido a la autenticación de dos factores.
Puntos de Intrusión y Persistencia de los Hackers
Volexity finalmente rastreó a los hackers en esa segunda red hasta dos posibles puntos de intrusión. Los hackers parecían haber comprometido un dispositivo VPN de la otra organización. Pero también habían accedido al Wi-Fi de la organización desde los dispositivos de otra red en el mismo edificio, lo que sugiere que los hackers pudieron haber encadenado hasta tres redes a través de Wi-Fi para llegar a su objetivo final. “Quién sabe cuántos dispositivos o redes comprometieron y estaban utilizando para esto”, dice Adair.
Intentos de Intrusión Persistentes y Conclusión
De hecho, incluso después de que Volexity desalojara a los hackers de la red de su cliente, los hackers intentaron nuevamente en la primavera entrar a través de Wi-Fi, esta vez intentando acceder a recursos que se compartían en la red de Wi-Fi para invitados. “Estos tipos fueron super persistentes”, dice Adair. Sin embargo, Volexity pudo detectar este siguiente intento de intrusión rápidamente y cerrar el acceso a los intrusos.
Volexity había supuesto al principio de su investigación que los hackers eran de origen ruso debido a su enfoque en empleados individuales de la organización cliente centrados en Ucrania. Luego, en abril, dos años después de la intrusión original, Microsoft advirtió sobre una vulnerabilidad en el spooling de impresión de Windows que había sido utilizada por el grupo de hackers APT28 de Rusia—Microsoft se refiere al grupo como Forest Blizzard—para obtener privilegios administrativos en las máquinas objetivo. Los restos dejados en la primera computadora que Volexity había analizado en la intrusión basada en Wi-Fi de su cliente coincidían exactamente con esa técnica. “Fue una coincidencia exacta uno a uno”, dice Adair.
Fuente y créditos: www.wired.com
Cats: Security
