Хакеры используют соседей, чтобы получить доступ
- Российская группа кибершпионажа APT28 связана с «атакой ближайшего соседа
- Сеть Wi-Fi жертвы безопасна, а сеть Wi-Fi ее соседа — нет
- Время совпадает с вторжением России в Украину в 2022 году.
Российская группа кибершпионажа APT28, также известная как Fancy Bear, смогла использовать близлежащие сети Wi-Fi, чтобы проникнуть в сеть американской компании посредством «атаки ближайшего соседа.
Атака, впервые обнаруженная фирмой по кибербезопасности Volexity в феврале 2022 года, вызвала новые опасения по поводу уязвимостей в корпоративных системах Wi-Fi.
В данном случае APT28, отслеживаемый Volexity как «GruesomeLarch», нацелен на американскую организацию, участвующую в проектах, связанных с Украиной, и, следовательно, имеет в компании государственный интерес.
«атаки ближайшего соседа»
Атака на неназванную американскую компанию, клиента Volexity, личность которой защищена, началась с распыления пароля для получения учетных данных для корпоративной сети Wi-Fi жертвы. Многофакторная аутентификация компании защитила ее общедоступные системы, но затем хакеры обратились к близлежащим организациям, чтобы скомпрометировать системы.
Volexity объясняет: «Злоумышленник находится на другом конце света и фактически не может подключиться к корпоративной сети Wi-Fi [жертвы]. Чтобы преодолеть это препятствие, злоумышленник пытается взломать здание, расположенное рядом с офисом [жертвы] других организаций, чья стратегия состоит в нападении на другую организацию».
APT28 использует устройства, подключенные к проводным и беспроводным сетям. Он действует как мост к сети Wi-Fi целевой компании, обеспечивая горизонтальное перемещение и утечку данных.
Кроме того, злоумышленники используют встроенные инструменты Windows, такие как Cipher.exe, для стирания доказательств, что затрудняет обнаружение и отслеживание атаки. Они также воспользовались уязвимостью нулевого дня в службе диспетчера очереди печати Windows для повышения привилегий в сети жертвы.
Учитывая, что нападение произошло всего за несколько недель до вторжения России в Украину, его геополитическое значение соответствует выбору компании-мишени.
Теперь Volexity рекомендует всем компаниям отслеживать подозрительную активность, создавать отдельные сетевые среды для Wi-Fi и Ethernet, а также внедрять решения на основе аутентификации и сертификатов.
