# APT28 — Ataque Nearest Neighbor > [!danger] Nova TTP — APT28 Usa Wi-Fi de Vizinhos para Comprometer Alvo > Em 2024, a Volexity documentou técnica inédita do **APT28**: comprometer organizações da rede Wi-Fi corporativa sem acesso físico ao local — pivotando via Wi-Fi de **empresas vizinhas** ao alvo. Demonstra que perímetros físicos não garantem segurança sem segmentação de rede Wi-Fi. ## Visão Geral Em 2024, a empresa de segurança Volexity públicou análise detalhada de uma campanha do APT28 (GRU russo) que introduziu uma técnica de ataque sem precedentes documentados: o **Nearest Neighbor Attack** (Ataque do Vizinho Mais Próximo). A técnica consiste em: 1. O APT28 compromete remotamente uma empresa na vizinhança física do alvo real (empresa A vizinha ao alvo B) 2. A empresa A comprometida tem laptops/dispositivos com interface Wi-Fi habilitada 3. O APT28 usa a interface Wi-Fi desses dispositivos para conectar-se à rede Wi-Fi corporativa do alvo B 4. O ataque ao alvo real ocorre via salto Wi-Fi sem nenhum operador presente no local A campanha específica investigada pela Volexity visava organizações com acesso a informações relacionadas à Ucrânia durante o período de invasão russa. O ataque aconteceu em Washington D.C., onde múltiplas organizações relevantes operam em proximidade física. A técnica é sofisticada porque: (a) elimina a necessidade de VPNs ou proxies convencionais que poderiam revelar origem, (b) o tráfego de ataque aparece como originado de dentro do raio físico da organização, e (c) contorna controles de acesso baseados em geolocalização/IP. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nMapeamento físico\nOrganizações vizinhas ao alvo] --> B[Comprometimento Inicial\nHack remoto de empresa vizinha A\nCredenciais VPN / RDP] B --> C[Pivoting Wi-Fi\nInterface Wi-Fi do laptop comprometido\nConecta à rede Wi-Fi do Alvo B] C --> D[Acesso Alvo Real\nComo usuário interno\nSem VPN externa] D --> E[Movimento Lateral\nCredenciais legítimas\nServiços internos] E --> F[Exfiltração\nDados estratégicos\nUcrânia / OTAN] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais de empresa vizinha comprometida | | Proxy / Relay | [[t1090-proxy\|T1090]] | Dispositivo da empresa vizinha como relay Wi-Fi | | Serviços Remotos | [[t1021-remote-services\|T1021]] | RDP / acesso remoto ao laptop pivô | | Bridge de Rede | [[t1030-network-boundary-bridging\|T1030]] | Cruzamento de rede via Wi-Fi dual-homed | ## Implicações para Segurança Esta técnica tem implicações significativas para o modelo de segurança baseado em perímetro físico: - Redes Wi-Fi corporativas abertas ou com segmentação inadequada são um vetor de entrada mesmo com proteção de internet robusta - Dispositivos com Wi-Fi habilitado em redes cabeadas criam bridges não intencionais - Controles de acesso baseados em IP de origem não detectam esse tipo de ataque ## Detecção e Defesa - Segmentar redes Wi-Fi corporativas com 802.1X e isolamento de cliente - Desabilitar interface Wi-Fi em dispositivos conectados por cabo (Group Policy) - Implementar Network Access Control (NAC) com perfis de dispositivo - Monitorar múltiplas interfaces de rede ativas no mesmo endpoint - Aplicar [[m1030-network-segmentation|M1030]] para isolar SSID corporativo ## Referências - Volexity: Nearest Neighbor Attack — APT28 Wi-Fi pivoting (2025) - Microsoft MSTIC: Forest Blizzard — APT28 updated TTPs (2024) - NCSC UK: APT28 / GRU cyber operations (2024) - Perfil do grupo: [[apt28|APT28]]