Оферта за отстъпка за множество лицензи
Компютърна сигурност Руските кибершпиони използват близостта в иновативна...

Руските кибершпиони използват близостта в иновативна Wi-Fi атака

До Mura през Компютърна сигурностг
Превод на:
български език

Руска група за кибершпионаж издигна хакерската изобретателност до опасно ново ниво с техника, наречена „Атака на най-близкия съсед“. Този метод, открит от фирмата за киберсигурност Volexity, разкрива как групите за усъвършенствана постоянна заплаха (APT) като APT28 (известен също като Fancy Bear) развиват своите тактики, за да заобиколят дори стабилни мерки за сигурност.

В този смразяващ случай руски хакери проникнаха в Wi-Fi мрежата на жертвата не като я пробиха директно, а като компрометираха организация, разположена от другата страна на улицата. Инцидентът подчертава нарастващата нужда от бдителност по отношение на често пренебрегваните рискове на Wi-Fi мрежите.

Анатомията на атаката

Атаката започна с класическа кампания за пръскане на пароли. Хакерите са получили идентификационни данни за услуга, използвана от основната им цел, наричана "Организация А". Първоначалните им усилия обаче бяха осуетени от многофакторно удостоверяване (MFA), което им попречи да използват тези идентификационни данни.

Без да бъдат възпрепятствани, хакерите преместиха фокуса си върху близката сграда, в която се помещава второстепенно образувание, „Организация Б“. Като компрометират устройство в мрежата на Организация B, което има както кабелна Ethernet връзка, така и активен Wi-Fi адаптер, нападателите си пробиват път в Wi-Fi мрежата на Организация A. Групата за кибершпионаж не спря дотук: те компрометираха и трета организация, „Организация C“, която предостави допълнителни пътища за свързване към Организация A.

Стелт и измама: Използването на техники за живот извън земята

Хакерите щателно изтриха следите си, използвайки родния инструмент Cipher.exe на Microsoft – легитимна помощна програма, която обикновено се използва за сигурно изтриване на данни. Това бележи първия път, когато Volexity се сблъсква с Cipher.exe, злоупотребяван по такъв начин, което подчертава иновативния подход на групата.

Освен това групата разчиташе в голяма степен на техники за „живеене извън земята“, които включват използване на вградени инструменти и легитимен софтуер за избягване на откриване. Подобни методи правят значително по-трудно за защитниците да припишат или идентифицират злонамерена дейност.

APT28: Известен играч в кибершпионажа

Въпреки че първоначалните разследвания оставиха Volexity несигурни за извършителите, последващ доклад от Microsoft през 2024 г. потвърди, че тактиката носи отличителните белези на Forest Blizzard – група, проследявана също като APT28, Fancy Bear или Sofacy. APT28 е добре известно руско звено за кибершпионаж с дълга история на насочване към геополитически противници .

В този случай нападателите са имали за цел достъп до чувствителни данни, свързани с Украйна, тъй като пробивът е станал малко преди нахлуването на Русия в страната през 2022 г.

Нов вид атака от близост

Това, което отличава Nearest Neighbor Attack, е неговата изобретателност. Традиционните операции с близък достъп често изискват нападателите да са физически близо до своите цели, което увеличава риска от излагане. Въпреки това, този метод използва компрометирани устройства в съседни местоположения, за да постигне същите предимства, базирани на близост, без риск от физическо присъствие.

„Тази атака на практика се равнява на операция за близък достъп, но рискът от физическо идентифициране или задържане е премахнат“, обясни Volexity. Подходът демонстрира находчивостта и решителността на съвременните APT групи.

Последици за киберсигурността: Скритите рискове на Wi-Fi мрежите

Атаката на най-близкия съсед служи като ярко напомняне, че Wi-Fi мрежите често остават пренебрегвана уязвимост в стратегиите за киберсигурност. Въпреки че организациите са инвестирали сериозно в осигуряването на интернет услуги с MFA и други мерки, същата строгост не е приложена към Wi-Fi мрежите.

За да се защитят срещу подобни атаки, организациите трябва:

  • Извършете задълбочени оценки на сигурността на всички безжични мрежи.
  • Наблюдавайте за неоторизирани устройства, свързани към Wi-Fi мрежи.
  • Ограничете достъпа до критични системи от Wi-Fi връзки, когато е възможно.
  • Внедрете силно Wi-Fi криптиране и редовно актуализирайте идентификационните данни за достъп.
  • Обучете служителите да разпознават и съобщават за необичайна мрежова активност.

Призив за събуждане за кибер защитниците

Атаката на най-близкия съсед илюстрира как групите за кибершпионаж като APT28 продължават да правят иновации, използвайки пренебрегвани уязвимости в преследване на своите цели. Тъй като Wi-Fi мрежите стават неразделна част от съвременните операции, защитата им трябва да се третира със същата важност като другите критични системи.

Този случай трябва да послужи като сигнал за събуждане за организациите по целия свят да преосмислят своя подход към безжичната сигурност. Усъвършенстваните заплахи изискват усъвършенствани защити и цената на самодоволството може да е твърде висока.

Зареждане...