Российские хакеры атакуют невинные компании, чтобы получить доступ к своим соседям

Хакеры используют соседей, чтобы получить доступ

Российские хакеры атакуют невинные компании, чтобы получить доступ к своим соседям

  • Российская группа кибершпионажа APT28 связана с «атакой ближайшего соседа
  • Сеть Wi-Fi жертвы безопасна, а сеть Wi-Fi ее соседа — нет
  • Время совпадает с вторжением России в Украину в 2022 году.

Российская группа кибершпионажа APT28, также известная как Fancy Bear, смогла использовать близлежащие сети Wi-Fi, чтобы проникнуть в сеть американской компании посредством «атаки ближайшего соседа.

Атака, впервые обнаруженная фирмой по кибербезопасности Volexity в феврале 2022 года, вызвала новые опасения по поводу уязвимостей в корпоративных системах Wi-Fi.

В данном случае APT28, отслеживаемый Volexity как «GruesomeLarch», нацелен на американскую организацию, участвующую в проектах, связанных с Украиной, и, следовательно, имеет в компании государственный интерес.

«атаки ближайшего соседа»

Атака на неназванную американскую компанию, клиента Volexity, личность которой защищена, началась с распыления пароля для получения учетных данных для корпоративной сети Wi-Fi жертвы. Многофакторная аутентификация компании защитила ее общедоступные системы, но затем хакеры обратились к близлежащим организациям, чтобы скомпрометировать системы.

Volexity объясняет: «Злоумышленник находится на другом конце света и фактически не может подключиться к корпоративной сети Wi-Fi [жертвы]. Чтобы преодолеть это препятствие, злоумышленник пытается взломать здание, расположенное рядом с офисом [жертвы] других организаций, чья стратегия состоит в нападении на другую организацию».

APT28 использует устройства, подключенные к проводным и беспроводным сетям. Он действует как мост к сети Wi-Fi целевой компании, обеспечивая горизонтальное перемещение и утечку данных.

Кроме того, злоумышленники используют встроенные инструменты Windows, такие как Cipher.exe, для стирания доказательств, что затрудняет обнаружение и отслеживание атаки. Они также воспользовались уязвимостью нулевого дня в службе диспетчера очереди печати Windows для повышения привилегий в сети жертвы.

Учитывая, что нападение произошло всего за несколько недель до вторжения России в Украину, его геополитическое значение соответствует выбору компании-мишени.

Теперь Volexity рекомендует всем компаниям отслеживать подозрительную активность, создавать отдельные сетевые среды для Wi-Fi и Ethernet, а также внедрять решения на основе аутентификации и сертификатов.

источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

error: Content is protected !!