Evil Twin: Accessi Wi-Fi Malevoli (T1557.004)

Il Wi-Fi Pineapple rimane lo strumento di riferimento per testare la resilienza aziendale contro questa minaccia. La configurazione base richiede pochi passaggi per attivare un access point malevolo che replica esattamente l'SSID target.

Prima di tutto, identifica le reti circostanti con airodump-ng wlan0mon per mappare SSID, canali e intensità del segnale. Seleziona il target con maggior traffico client e configura il Pineapple per trasmettere lo stesso SSID su un canale adiacente con potenza superiore.

La creazione del captive portal avviene modificando il template HTML standard del dispositivo. Inserisci loghi aziendali e form di autenticazione identici all'originale per massimizzare la credibilità. Il comando hostapd -dd /etc/hostapd/hostapd.conf avvia l'access point con le configurazioni personalizzate.

Per intercettare il traffico HTTPS, genera certificati self-signed che imitano quelli legittimi:

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Configura poi il proxy trasparente con iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8080 per redirigere tutto il traffico verso il tuo sistema di intercettazione.

L'automazione degli attacchi alle Preferred Network Lists richiede uno script che risponda automaticamente alle probe request dei client. Quando un dispositivo cerca "CompanyWiFi", il tuo sistema risponde immediatamente fingendosi quella rete, sfruttando la fiducia preconfigurata del dispositivo.

La detection efficace richiede correlazione tra multiple fonti di log per identificare anomalie nei pattern di connessione Wi-Fi. I WLANLogs:Association mostrano tentativi di connessione a BSSID non autorizzati che utilizzano SSID aziendali legittimi.

Configura alert basati su whitelist di BSSID autorizzati mappati agli SSID corporate. Qualsiasi associazione a un SSID aziendale proveniente da un BSSID non in lista genera immediatamente un allarme ad alta priorità. La soglia di intensità del segnale diventa un indicatore critico: access point con segnale anomalmente forte rispetto alla baseline possono indicare dispositivi posizionati strategicamente per prevalere su quelli legittimi.

Il monitoraggio dei flussi di rete (NSM:Flow) rivela pattern sospetti quando il traffico destinato a risorse interne viene invece instradato attraverso gateway non autorizzati. Correla questi eventi con i log dei dispositivi di rete (networkdevice:syslog) per tracciare l'origine fisica degli access point malevoli.

I captive portal rappresentano un punto di detection privilegiato. Monitora redirect HTTP verso domini non inclusi nella lista dei CaptivePortalDomains autorizzati. Qualsiasi tentativo di presentare form di login su domini sconosciuti mentre l'utente crede di essere sulla rete aziendale costituisce un indicatore di compromissione ad alta affidabilità.

L'implementazione di Wireless Intrusion Prevention Systems automatizza il rilevamento attraverso signature specifiche per pattern di traffic manipulation e certificate spoofing tipici di questi attacchi.

La ricostruzione forense di un attacco Evil Twin richiede l'analisi coordinata di log provenienti da access point legittimi, dispositivi client compromessi e sistemi di monitoraggio wireless. I timestamp delle associazioni Wi-Fi nei log WLAN forniscono il punto di partenza per identificare quando i dispositivi hanno iniziato a connettersi all'access point malevolo.

Esamina i log di sistema dei dispositivi client per identificare warning su certificati non validi o connessioni a BSSID anomali. Windows registra questi eventi nel registro di sistema sotto HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet con timestamp precisi di ogni tentativo di connessione.

La correlazione temporale tra probe request inviate dai client e risposte dall'access point malevolo permette di ricostruire la sequenza di adescamento. I dispositivi salvano l'historico delle reti Wi-Fi con relativi BSSID in posizioni specifiche: su Windows in %ProgramData%\Microsoft\Wlansvc\Profiles, su macOS in /Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist.

L'analisi del traffico di rete catturato durante l'incidente rivela tentativi di intercettazione SSL/TLS attraverso certificati contraffatti. Cerca nei log tracce di errori certificate pinning o mismatch che gli utenti potrebbero aver ignorato. La presenza di traffico verso IP esterni quando l'utente credeva di navigare sulla rete interna conferma l'avvenuto dirottamento.

APT28 ha dimostrato l'uso di Wi-Fi Pineapple in operazioni documentate, lasciando tracce forensi distintive nei log di associazione wireless e nei pattern di traffico verso server di comando e controllo.

APT28 rimane l'unico gruppo con utilizzo documentato di Evil Twin attraverso Wi-Fi Pineapple per operazioni di spionaggio. Il gruppo russo, noto anche come Fancy Bear, ha integrato questa tecnica nel proprio arsenale per targetizzare diplomatici e personale governativo in location pubbliche strategiche.

Il profilo operativo mostra preferenza per deployment in prossimità di conferenze internazionali, hotel frequentati da target di interesse e aree di transito aeroportuale. La scelta del Wi-Fi Pineapple indica focus su facilità di deployment e capacità di gestire multiple vittime simultaneamente.

L'evoluzione tattica suggerisce possibile espansione verso dispositivi IoT e sistemi embedded che si connettono automaticamente a reti note. La crescente diffusione di dispositivi always-connected aumenta la superficie di attacco per operazioni Evil Twin su scala più ampia.

Pattern geografici mostrano concentrazione in capitali europee durante eventi diplomatici significativi. La correlazione con altri tool nell'arsenale di APT28 suggerisce uso di Evil Twin come vettore iniziale per deployment di malware persistente sui dispositivi compromessi.

L'assenza di altri gruppi documentati non implica mancanza di adozione. La semplicità tecnica e l'efficacia dimostrata rendono probabile l'utilizzo non attribuito da parte di altri attori, specialmente in operazioni di cybercrime finanziario targeting executive in viaggio.

Framework MITRE ATT&CK T1557.004. Documentazione su APT28 e utilizzo di Wi-Fi Pineapple in operazioni di spionaggio. Risorse di detection per Wireless Intrusion Prevention Systems e correlazione log WLAN.