Pewien nietypowy atak z 2022 roku został zbadany przez firmę zajmującą się cyberbezpieczeństwem – Volexity. Jest to interesujący przypadek, gdyż dotyczy włamania do sieci organizacji docelowej przez połączenie Wi-Fi po ataku na system podmiotu znajdującego się po drugiej stronie ulicy od docelowej ofiary.
Atak został odkryty tuż przed inwazją Rosji na Ukrainę, a celem hakerów było najwyraźniej uzyskanie „danych od osób posiadających wiedzę specjalistyczną na temat Ukrainy i projektów aktywnie z nią związanych”.
Atak wyróżnia się wykorzystaniem tego, co Volexity opisało jako nową technikę, nazwaną przez firmę „Nearest Neighbor Attack”.
Źródło: VolexityZgodnie z dochodzeniem Volexity atakujący zdołał uzyskać dane uwierzytelniające do usługi internetowej używanej przez Organizację A, ale nie można było ich użyć z powodu włączonego uwierzytelniania wieloskładnikowego.
Następnie atakujący wpadł na pomysł włamania się do sieci innej organizacji, znajdującej się w budynku w pobliżu Organizacji A. Po uzyskaniu dostępu do tej innej jednostki, nazwanej przez Volexity Organizacją B, hakerzy znaleźli system podłączony do sieci dzięki przewodowego połączenia Ethernet.
Urządzenie to miało jednak również adapter Wi-Fi, którego atakujący użył do połączenia się z siecią Wi-Fi Organizacji A, mieszczącej się po drugiej stronie ulicy.
Volexity znalazł również dowody na to, iż atakujący włamał się dodatkowo do trzeciej pobliskiej organizacji, Organizacji C, z której łączył się przez Wi-Fi zarówno z Organizacją B, jak i Organizacją A.
Atakujący usunął pliki i foldery, aby zatrzeć ślady, i osiągnął to, używając natywnego narzędzia Microsoftu o nazwie Cipher.exe. Był to pierwszy raz, gdy Volexity zauważyło wykorzystanie tego narzędzia w ataku. Początkowo firma miała pewne trudności z przypisaniem ataku znanemu atakującemu, w dużej mierze z powodu intensywnego stosowania technik „Living off the Land”, które opisywaliśmy wielokrotnie na Kapitanie Hacku.
Jednak raport opublikowany przez Microsoft na temat powiązanej z Rosją grupy o nazwie Forest Blizzard w kwietniu 2024 r. ujawnił znaczące podobieństwa wskazujące na tę właśnie grupę jako autora ataku.
Forest Blizzard znane jest pod wieloma mianami: APT28, Sofacy i Fancy Bear, a Volexity przypisała grupie nazwę GruesomeLarch.
„Śledztwo Volexity ujawnia, jak daleko jest w stanie posunąć się kreatywny, pomysłowy i zmotywowany podmiot zagrażający, aby osiągnąć swoje cele. Nearest Neighbor Attack w rzeczywistości sprowadza się do operacji bliskiego dostępu, ale ryzyko fizycznej identyfikacji lub zatrzymania zostało usunięte. Ten atak ma wszystkie zalety fizycznej bliskości celu, jednocześnie pozwalając operatorowi znajdować się tysiące mil dalej” – wyjaśniło Volexity.
„Organizacje muszą wziąć pod uwagę dodatkowe kwestie dotyczące ryzyka, jakie sieci Wi-Fi mogą stwarzać dla ich bezpieczeństwa operacyjnego” – dodała firma. „W ciągu ostatnich kilku lat włożono wiele wysiłku w redukcję powierzchni ataku, gdzie usługi internetowe były zabezpieczane dzięki MFA lub całkowicie usuwane. Jednak sieciom Wi-Fi niekoniecznie poświęcono tyle samo uwagi”.
