Evil Twin Wi-Fi: Adversary-in-the-Middle tramite Access Point Fraudolento (T1557.004)

L'Evil Twin è uno degli scenari più efficaci nei red team engagement fisici e negli assessment di sicurezza wireless. Per simularlo in laboratorio servono un adattatore Wi-Fi con supporto alla modalità monitor e packet injection, una macchina Linux (tipicamente Kali) e un ambiente controllato — mai eseguire queste procedure su reti non autorizzate.

Il primo passo è portare l'interfaccia wireless in modalità monitor. Con aircrack-ng (open source), il comando standard è:

airmon-ng start wlan0

Questo crea un'interfaccia in modalità monitor (tipicamente wlan0mon) che consente di osservare tutto il traffico wireless circostante. La ricognizione iniziale si esegue con:

airodump-ng wlan0mon

L'output mostra SSID, BSSID, canale, tipo di cifratura e potenza del segnale di ogni AP visibile, oltre ai client associati. Questi dati servono per clonare con precisione la rete target.

Per la creazione dell'AP malevolo, hostapd (open source) è il demone di riferimento. Si prepara un file di configurazione (evil.conf) con l'SSID della rete target, il canale desiderato e l'interfaccia wireless, poi si lancia:

hostapd evil.conf

L'AP è ora attivo, ma i client non si sposteranno spontaneamente se la rete legittima ha segnale migliore. Qui entra in gioco la de-autenticazione forzata, che con aireplay-ng (parte della suite aircrack-ng, open source) si esegue così:

aireplay-ng --deauth 0 -a <BSSID_TARGET> wlan0mon

Il parametro 0 indica invio continuo di frame di de-autenticazione; i client disconnessi cercheranno di riassociarsi e, trovando l'Evil Twin con segnale più forte, si connetteranno a quest'ultimo.

Per il layer di rete (DHCP e routing), dnsmasq (open source) assegna indirizzi IP ai client e permette di configurare risposte DNS arbitrarie, ideali per reindirizzare le vittime verso un captive portal controllato. Il portale di phishing si gestisce con un semplice web server locale.

Chi preferisce un approccio integrato può usare Wifiphisher (open source), un framework Python che automatizza l'intera catena: creazione dell'AP, de-autenticazione dei client, captive portal con template preconfigurati per la cattura delle credenziali. Un approccio alternativo è il Wi-Fi Pineapple di Hak5 (a pagamento), un dispositivo hardware dedicato che gestisce tutto tramite interfaccia web, inclusa la risposta automatica alle probe request PNL.

Per intercettare traffico HTTPS dopo la connessione, bettercap (open source) offre moduli di SSL stripping e proxy trasparente integrati. La cattura delle credenziali in transito si verifica facilmente osservando i log del proxy.

La detection dell'Evil Twin è una sfida che si gioca quasi interamente sul livello wireless — un livello che molti SOC trascurano, concentrandosi su endpoint e traffico di rete cablata. Eppure è proprio nell'analisi dei log WLAN e dei flussi di rete che emergono gli indicatori più affidabili.

La prima linea di difesa è un Wireless Intrusion Prevention System (WIPS), come indicato dalla mitigazione M1031. Soluzioni come Cisco Adaptive wIPS (a pagamento) o il modulo WIPS integrato nei controller Aruba (a pagamento) confrontano continuamente gli AP rilevati con una baseline autorizzata. I log source fondamentali sono tre: WLANLogs:Association per gli eventi di connessione, NSM:Flow per i flussi di rete, e i syslog dei dispositivi di rete per le anomalie infrastrutturali.

Il tuning della detection ruota attorno a quattro parametri chiave. Il primo è la baseline degli SSID autorizzati: ogni SSID che non appartiene all'inventario aziendale va segnalato, ma il vero indicatore di Evil Twin è un SSID identico a uno corporate proveniente da un BSSID non censito. Il secondo parametro è la whitelist dei BSSID/MAC: mappando ogni SSID corporate ai MAC address dei propri access point, qualsiasi deviazione genera un alert ad alta confidenza. Il terzo è la soglia di potenza del segnale: un AP con SSID corporate che trasmette con potenza anomala rispetto alla mappa RF dell'edificio è sospetto. Il quarto parametro riguarda i domini del captive portal: se i client vengono reindirizzati a portali di autenticazione non riconosciuti, il WIPS deve segnalare immediatamente l'anomalia.

Sul piano endpoint, i certificati giocano un ruolo cruciale. Quando un Evil Twin presenta un certificato self-signed o con CN non corrispondente per intercettare HTTPS, i client generano errori di validazione. Centralizzando i log dei browser o gli eventi di certificate pinning failure, il SOC può correlare un errore di certificato con una connessione WLAN verso un BSSID non autorizzato — un pattern che di fatto conferma la presenza di un AP malevolo.

Per ridurre i falsi positivi, è essenziale mantenere aggiornato l'inventario degli AP aziendali e dei dispositivi IoT con radio Wi-Fi. Access point temporanei per eventi, hotspot di smartphone personali e dispositivi dei visitatori generano rumore che va filtrato con whitelist dinamiche.

L'analisi forense di un attacco Evil Twin presenta una particolarità: gli artefatti più significativi risiedono sia sull'endpoint vittima sia sull'infrastruttura di rete, e la ricostruzione della timeline richiede la correlazione di entrambi.

Sui client Windows, il punto di partenza è il registro delle connessioni Wi-Fi. I profili di rete sono memorizzati nel registro di sistema sotto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles, dove ogni chiave contiene SSID, data di prima e ultima connessione, tipo di rete e gateway. Un profilo che mostra lo stesso SSID aziendale ma un gateway diverso da quello atteso è un indicatore forte. I file XML dei profili WLAN, estraibili con:

netsh wlan export profile folder=C:\evidence key=clear

contengono i dettagli di configurazione incluso il tipo di autenticazione e, nel caso di reti aperte, l'assenza di cifratura — anomala per una rete corporate.

I log eventi di Windows sono altrettanto preziosi. Il canale Microsoft-Windows-WLAN-AutoConfig/Operational registra associazioni, dissociazioni e tentativi di autenticazione. Un pattern tipico dell'Evil Twin è una sequenza rapida di disconnessione dalla rete legittima (causata dalla de-autenticazione forzata) seguita da una riconnessione allo stesso SSID ma con BSSID differente. L'EventCode 8001 indica una connessione riuscita e include il BSSID dell'AP — confrontarlo con l'inventario aziendale permette di identificare l'access point malevolo.

Su macOS e Linux le informazioni equivalenti si trovano rispettivamente nei log di sistema filtrabili con log show --predicate 'subsystem == "com.apple.wifi"' e nel journal di NetworkManager (journalctl -u NetworkManager).

Sul versante di rete, i log dei controller wireless e i flussi NetFlow/IPFIX catturati a monte rivelano il momento esatto in cui il traffico della vittima ha iniziato a transitare su un percorso anomalo. Se il WIPS era attivo, i suoi alert forniscono timestamp precisi di rilevamento dell'AP rogue.

Per i casi in cui l'attaccante ha utilizzato un captive portal di phishing, la cache del browser della vittima — cronologia, cookie, eventuali credenziali salvate — costituisce evidenza diretta. Su Chrome, il file History (database SQLite) contiene URL con timestamp; un redirect verso un dominio sconosciuto subito dopo la riconnessione Wi-Fi chiude il cerchio della timeline.

L'Evil Twin è una tecnica che richiede prossimità fisica al bersaglio, il che la rende relativamente rara nel panorama APT — ma proprio per questo estremamente significativa quando viene impiegata. La scelta di operare in presenza implica un target di altissimo valore e risorse operative considerevoli.

APT28 (noto anche come Fancy Bear, Sofacy, Sednit — G0007) è il gruppo documentato che ha impiegato questa tecnica. L'attore, attribuito all'intelligence militare russa, ha utilizzato un Wi-Fi Pineapple per condurre operazioni di Evil Twin Wi-Fi Poisoning con un duplice obiettivo: la cattura di credenziali e l'installazione di malware a finalità spionistica. Questa scelta operativa è coerente con il profilo di APT28, notoriamente aggressivo nell'impiego di tecniche di accesso ravvicinato — come dimostrato anche da operazioni di close-access documentate contro organizzazioni internazionali.

Il pattern operativo tipico dell'Evil Twin negli scenari nation-state prevede una catena ben definita. L'avversario conduce prima una ricognizione fisica del sito, identificando gli SSID corporate e le abitudini di connessione del personale. L'attacco vero e proprio avviene in finestre temporali ristrette — conferenze internazionali, eventi diplomatici, summit — dove il target si trova in ambienti con Wi-Fi pubblico e la densità di reti rende meno sospetta la comparsa di un AP aggiuntivo.

Dal punto di vista dell'analisi predittiva, l'Evil Twin si inserisce quasi sempre come vettore di accesso iniziale in una catena più lunga. Le credenziali catturate alimentano campagne di spear-phishing successivo o accesso diretto a VPN e servizi cloud. Il malware impiantato tramite l'interazione con il captive portal fasullo stabilisce un canale C2 persistente che sopravvive alla disconnessione dall'AP malevolo.

Per gli analisti TI, il consiglio pratico è monitorare i periodi di esposizione fisica delle proprie organizzazioni: viaggi del management, partecipazione a fiere di settore, riunioni presso sedi esterne. Questi rappresentano le finestre di opportunità per attacchi Evil Twin. La correlazione tra alert WIPS e calendari di viaggio aziendali può trasformare un segnale debole in un indicatore di targeting attivo.

Framework MITRE ATT&CK v16 — Tecnica T1557.004, Gruppo G0007 (APT28), Mitigazioni M1031, M1017, Detection DET0379/AN1069. Integrato con conoscenza professionale per tool e procedure operative.