Accesso Iniziale via Wi-Fi: Wi-Fi Networks (T1669)

La simulazione di questa tecnica in un contesto red team richiede due scenari distinti: lo sfruttamento di reti Wi-Fi aperte e l'accesso a reti enterprise protette tramite credenziali compromesse. Entrambi devono essere eseguiti esclusivamente in ambienti lab autorizzati.

Ricognizione wireless. Il primo passo è l'enumerazione delle reti disponibili. Su Linux, con una scheda wireless in modalità monitor, il tool aircrack-ng (open source) fornisce tutto il necessario. Impostando l'interfaccia in monitor mode e avviando la scansione:

sudo airmon-ng start wlan0

sudo airodump-ng wlan0mon

Questo rivela SSID, BSSID, canali, cifratura e client associati. Su macOS il comando nativo airport consente una scansione rapida senza tool aggiuntivi:

sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -s

Su Windows, il comando integrato netsh offre funzionalità analoghe:

netsh wlan show networks mode=bssid

Simulazione del Nearest Neighbor. Per replicare lo scenario di daisy-chaining documentato nella campagna C0051, il red team deve identificare un sistema dual-homed nel lab che abbia sia un'interfaccia Ethernet sia una wireless. Una volta compromesso il sistema ponte (simulando il pivot), si utilizza la sua interfaccia Wi-Fi per connettersi alla rete target. Su Windows il comando per forzare l'associazione è:

netsh wlan connect name="TargetSSID"

Su Linux, con wpa_supplicant (open source, preinstallato sulla maggior parte delle distribuzioni):

sudo wpa_supplicant -B -i wlan0 -c /etc/wpa_supplicant/wpa_supplicant.conf

Il file di configurazione deve contenere SSID e credenziali della rete target — credenziali che nella simulazione vengono fornite come premessa dell'esercizio.

Post-connessione e sniffing. Una volta associati alla rete Wi-Fi, il passo successivo è il lateral discovery. Il tool Responder (open source) permette di catturare hash NTLMv2 su reti Windows:

sudo responder -I wlan0 -wrf

Per il network sniffing passivo, tcpdump (open source) è sufficiente per catturare traffico non cifrato e identificare protocolli in chiaro:

sudo tcpdump -i wlan0 -w capture.pcap

Il tool Bettercap (open source) è particolarmente efficace per simulare scenari Adversary-in-the-Middle su reti wireless, combinando ARP spoofing e intercettazione in un'unica interfaccia interattiva.

La detection di accessi Wi-Fi malevoli richiede un approccio stratificato che combina log endpoint, telemetria di rete e controlli infrastrutturali. La difficoltà principale sta nella distinzione tra connessioni wireless legittime e tentativi non autorizzati — un problema che si risolve con una baseline solida.

Log source Windows. Il canale Microsoft-Windows-WLAN-AutoConfig/Operational è la fonte primaria. Gli eventi da monitorare includono EventCode 8001 (connessione riuscita a una rete wireless), EventCode 8002 (connessione fallita) e EventCode 8003 (disconnessione). La chiave del tuning è mantenere una lista di SSID autorizzati (KnownSSIDList): ogni associazione a un SSID non presente in lista deve generare un alert ad alta priorità. Una correlazione utile è incrociare questi eventi con i log di Security per verificare se l'autenticazione successiva utilizza credenziali valide provenienti da account noti.

Log source Linux. I log di wpa_supplicant nel syslog registrano ogni tentativo di associazione, successo o fallimento. Va monitorata la frequenza dei fallimenti: superata una soglia configurabile (RetryThreshold), il comportamento suggerisce un tentativo brute-force sulla rete wireless. I record auditd con tipo SYSCALL relativi a chiamate su interfacce di rete aggiungono visibilità sulle modifiche di stato delle interfacce wireless.

Log source macOS. Gli Unified Logs catturano eventi di associazione Wi-Fi tramite il subsystem com.apple.wifi. Un pattern sospetto è lo SSID switching rapido — il dispositivo che si associa e disassocia da più reti in sequenza breve, comportamento tipico di strumenti di scansione automatica. L'integrazione con osquery (open source) permette query programmatiche sullo stato delle interfacce wireless.

Controlli infrastrutturali. I sistemi WIDS/WIPS (Wireless Intrusion Detection/Prevention) rappresentano il layer più efficace. Gli alert da privilegiare sono la detection di rogue access point — dispositivi che emulano SSID aziendali — e l'apparizione di MAC address non censiti nella lista dei dispositivi autorizzati (AuthorizedAPList). I log dei controller wireless e dei firewall perimetrali completano il quadro, evidenziando regole firewall modificate o traffico anomalo da segmenti wireless.

Per ridurre i falsi positivi, la correlazione con il contesto di geolocalizzazione (GeoLocationContext) è determinante: un portatile aziendale che si connette alla rete corporate Wi-Fi da una sede non assegnata all'utente merita indagine. L'approccio preventivo si completa con le mitigazioni: MFA sull'autenticazione Wi-Fi (tramite RADIUS con certificati o token), segmentazione tra rete wireless e cablata, e cifratura forte (WPA3-Enterprise).

L'analisi forense di un accesso iniziale via Wi-Fi presenta sfide peculiari: gran parte dell'attività si svolge a livello di rete e radio prima di toccare l'endpoint. Tuttavia, una volta che la connessione è stabilita, gli artefatti si materializzano in modo concreto.

Artefatti Windows. I profili Wi-Fi salvati sono la prima fonte. Ogni rete a cui un sistema Windows si è connesso lascia un profilo in formato XML sotto il percorso %ProgramData%\Microsoft\Wlansvc\Profiles\Interfaces{GUID}. Ciascun file contiene SSID, tipo di autenticazione e — in alcuni casi — material crittografico. Il comando per elencare i profili è:

netsh wlan show profiles

Per estrarne i dettagli inclusa la chiave in chiaro (se disponibile):

netsh wlan show profile name="NomeRete" key=clear

I log del canale WLAN-AutoConfig forniscono timestamp precisi di ogni associazione e disconnessione, fondamentali per costruire la timeline. Incrociando il primo EventCode 8001 verso un SSID sconosciuto con i successivi eventi di logon nel Security log, si ricostruisce la sequenza: connessione wireless → autenticazione → accesso alle risorse.

Artefatti Linux. Le configurazioni di NetworkManager persistono sotto /etc/NetworkManager/system-connections/, un file per ogni rete salvata. Il syslog registra le interazioni di wpa_supplicant con timestamp, SSID e BSSID. Su sistemi con auditd configurato, le regole sulle chiamate di sistema relative ai socket wireless (famiglia AF_NETLINK) catturano i cambiamenti di stato dell'interfaccia.

Artefatti macOS. Il database delle reti conosciute risiede in /Library/Preferences/com.apple.wifi.known-networks.plist. Questo file plist contiene lo storico completo delle associazioni, inclusi timestamp di prima e ultima connessione. L'Unified Log con predicato sul subsystem Wi-Fi restituisce eventi granulari:

log show --predicate 'subsystem == "com.apple.wifi"' --info --last 7d

Ricostruzione del pivot dual-homed. Nello scenario documentato dalla campagna APT28 Nearest Neighbor Campaign (C0051), l'analisi deve estendersi oltre l'endpoint vittima finale. I sistemi ponte — quelli dual-homed compromessi — conservano artefatti su entrambe le interfacce: log di connessione wireless verso la rete target e tracce di connessione cablata verso l'infrastruttura dell'attaccante. La correlazione dei MAC address osservati nei log del controller wireless con gli indirizzi delle interfacce dei sistemi compromessi è il passaggio che lega la catena.

Sul piano della rete, i log dei controller wireless e dei server RADIUS conservano i tentativi di autenticazione: l'analisi dei fallimenti seguiti da un successo, con credenziali di account legittimi, segnala l'uso di credenziali rubate. I log DHCP completano il quadro, mostrando quando un nuovo dispositivo ha ottenuto un indirizzo IP sul segmento wireless.

Il panorama threat intelligence per la tecnica T1669 ruota attorno a un singolo attore documentato, ma il suo profilo operativo è talmente sofisticato da meritare un'analisi approfondita.

APT28 (G0007), noto anche come Fancy Bear, Sofacy e Sednit, è un gruppo con legami storici con l'intelligence militare russa. Il suo utilizzo di reti Wi-Fi come vettore di accesso iniziale rappresenta un'evoluzione significativa nel tradecraft del gruppo, che tradizionalmente ha privilegiato spearphishing e exploit di servizi esposti. Lo sfruttamento di access point Wi-Fi aperti per raggiungere dispositivi target dimostra una capacità operativa che richiede pianificazione logistica — ricognizione fisica o compromissione di sistemi proxy — ben oltre le competenze puramente cyber.

La campagna APT28 Nearest Neighbor Campaign (C0051), condotta tra febbraio 2022 e novembre 2024, è il caso di riferimento. Gli obiettivi erano organizzazioni e individui con competenze sull'Ucraina — un allineamento diretto con gli interessi geopolitici del periodo. L'aspetto più innovativo è il concetto di nearest neighbor: anziché posizionare operativi fisicamente vicini al bersaglio, APT28 ha compromesso organizzazioni geograficamente prossime alla vittima, individuando al loro interno sistemi dual-homed con connessione sia cablata sia wireless. Questi sistemi sono stati utilizzati come ponte radio per raggiungere la rete Wi-Fi enterprise del target reale.

Dal punto di vista del tradecraft, la campagna ha privilegiato tecniche living-off-the-land, minimizzando l'uso di malware custom e sfruttando strumenti nativi del sistema operativo. L'unico elemento di armamento avanzato è stato lo sfruttamento zero-day di CVE-2022-38028, una vulnerabilità nel servizio Windows Print Spooler. Questo mix — pivot wireless, LOTL e zero-day mirato — suggerisce un'unità operativa con accesso sia a capacità di sviluppo exploit sia a risorse per operazioni di prossimità.

Il pattern geografico è chiaro: il targeting segue le priorità strategiche russe, con focus su organizzazioni dell'Europa orientale e centri di analisi geopolitica. Il trend evolutivo indica che il confine tra operazioni cyber e operazioni di intelligence fisica si sta assottigliando: la tecnica del nearest neighbor elimina la necessità di agenti sul campo pur richiedendo una catena di compromissione che include la dimensione spaziale. Per i difensori, questo implica che la valutazione del rischio deve includere il profilo delle organizzazioni fisicamente adiacenti — un concetto di rischio per prossimità finora largamente ignorato nei framework di risk management tradizionali.

Framework MITRE ATT&CK v16 — T1669, TA0001, G0007, C0051, M1032, M1030, M1041, DET0536 (AN1476, AN1477, AN1478, AN1479). Tool di detection e simulazione: aircrack-ng, wpa_supplicant, Responder, tcpdump, Bettercap, osquery. Integrato con conoscenza professionale per tool e procedure operative.