# T1011.001 - Exfiltração por Bluetooth Técnica Pai: [[t1011-exfiltration-over-other-network-medium|T1011 - Exfiltração por Outro Meio de Rede]] ## Descrição Adversários podem tentar exfiltrar dados por meio de uma conexão Bluetooth em vez de utilizar o canal de comando e controle (C2). Quando o canal C2 opera sobre uma conexão de internet cabeada ou Wi-Fi corporativa, o adversário pode optar pelo Bluetooth como canal de saída alternativo, especialmente em ambientes onde o tráfego de rede principal é fortemente monitorado. Para que essa técnica sejá viável, o adversário precisa de dois requisitos: acesso lógico ao dispositivo comprometido (para controlar o adaptador Bluetooth) e proximidade física suficiente para que um receptor externo - como um smartphone, laptop ou dispositivo especializado controlado pelo atacante - estejá ao alcance do sinal Bluetooth, tipicamente até 10–100 metros dependendo da classe do adaptador. O Bluetooth frequentemente não é inspecionado pelos mesmos controles de segurança que o tráfego de rede corporativa (firewalls, proxies, DLP de rede), tornando-o um vetor de exfiltração atraente em operações de espionagem e acesso físico. Um exemplo histórico relevante é o [[s0143-flame|Flame]], malware sofisticado de espionagem que incluía capacidade de exfiltração e sincronização via Bluetooth. ## Attack Flow ```mermaid graph TB A([Endpoint Comprometido]) --> B[Adaptador Bluetooth habilitado] B --> C[Pareamento com dispositivo do adversário] C --> D[Transferência dos dados coletados] D --> E{Protocolo Bluetooth} E --> F[OBEX / FTP over BT / SPP] F --> G([Receptor Externo - dispositivo do adversário]) style A fill:#2d2d2d,color:#fff style G fill:#8b0000,color:#fff style C fill:#4a4a00,color:#fff ``` ## Contexto Operacional Essa sub-técnica é mais prevalente em operações direcionadas que envolvem: - **Ambientes air-gapped ou com egresso restrito** - onde o tráfego de internet é bloqueado ou filtrado de forma agressiva, mas interfaces locais permanecem ativas - **Operações de acesso físico** - agentes com acesso físico às instalações que podem posicionar receptores Bluetooth próximos ao endpoint - **Espionagem corporativa** - exfiltração de documentos confidenciais por funcionários mal-intencionados com dispositivos pessoais pareados A técnica é especialmente difícil de detectar em ambientes que não possuem políticas de controle de dispositivos Bluetooth (como MDM ou GPO desabilitando o adaptador). ## Detecção - Monitorar eventos de sistema relacionados a pareamento Bluetooth inesperado ou não autorizado - Identificar processos incomuns acessando a interface Bluetooth do sistema - Analisar logs do adaptador Bluetooth para conexões fora do horário de trabalho ou com dispositivos desconhecidos - Sistemas EDR com capacidade de detecção de uso de interface de hardware podem alertar sobre ativação anômala do adaptador Fontes de dados MITRE: [[dc0032-network-traffic-content|DC0032 - Network Traffic Content]], [[dc0033-network-traffic-flow|DC0033 - Network Traffic Flow]]. ## Mitigação | ID | Mitigação | Aplicação | |----|-----------|-----------| | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Desabilitar o adaptador Bluetooth via política de SO, GPO ou BIOS em estações que não necessitam do recurso | | M1028 | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Configurar políticas de pareamento Bluetooth para exigir autorização explícita e bloquear pareamento automático | ## Software Associado | Software | Tipo | Observação | |----------|------|------------| | [[s0143-flame\|Flame]] | Malware | Inclui módulo de exfiltração e sincronização via Bluetooth entre instâncias infectadas | ## Referências Cruzadas - Sub-técnica de [[t1011-exfiltration-over-other-network-medium|T1011 - Exfiltração por Outro Meio de Rede]] - Dados a exfiltrar geralmente preparados via [[t1074-data-staged|T1074 - Data Staged]] - Em ambientes air-gapped, pode ser combinada com [[t1091-replication-through-removable-media|T1091 - Replicação por Mídia Removível]] para o estágio de acesso inicial ## Contexto Brasil/LATAM No Brasil e na América Latina, a exfiltração via Bluetooth representa um vetor de risco relevante especialmente em ambientes **industriais e governamentais** com redes segregadas. Instalações do setor de [[energy|energia]] (como subestações e refinarias), órgãos do governo federal e ambientes militares frequentemente implementam restrições severas de egresso de rede convencional - criando exatamente a condição que torna essa técnica atraente. Casos de espionagem corporativa documentados no país envolvem funcionários de empresas dos setores [[financial|financeiro]] e de [[telecommunications|telecomúnicações]] utilizando dispositivos pessoais pareados via Bluetooth para capturar e exfiltrar dados sensíveis, contornando controles de DLP baseados em rede. A ausência de políticas de MDM que desabilitem o adaptador Bluetooth em laptops corporativos - ainda comum em empresas de médio porte - agrava a superfície de ataque. O cenário de espionagem industrial na América Latina também apresenta um vetor físico relevante: em feiras, conferências e instalações de acesso compartilhado, um adversário com dispositivo Bluetooth controlado posicionado nas proximidades pode interagir com um endpoint comprometido sem estabelecer qualquer conexão de rede corporativa rastreável. Técnicas como [[t1074-data-staged|T1074 - Data Staged]] são usadas em conjunto para preparar os arquivos de alto valor antes da jánela de exfiltração Bluetooth. A combinação com [[t1091-replication-through-removable-media|T1091 - Replicação por Mídia Removível]] foi observada em operações contra redes air-gapped de infraestrutura crítica na região: o malware se propaga inicialmente por USB e depois utiliza Bluetooth como canal de saída quando um dispositivo do adversário entra em alcance. O grupo [[s0143-flame|Flame]] - com esse tipo de arquitetura operacional - serve de referência para o perfil de ameaça que estados-nação representam contra alvos estratégicos brasileiros e latino-americanos. --- *Fonte: MITRE ATT&CK - T1011.001, versão 16.2*