Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Russische cyberspionnen maken gebruik van nabijheid bij...

Russische cyberspionnen maken gebruik van nabijheid bij innovatieve wifi-aanval

Tegen Mura in Computerbeveiliging
Vertalen naar:
Nederlands

Een Russische cyberespionagegroep heeft de hacking-inventiviteit naar een nieuw, gevaarlijk niveau getild met een techniek die de 'Nearest Neighbor Attack' wordt genoemd. Deze methode, ontdekt door cybersecuritybedrijf Volexity, laat zien hoe Advanced Persistent Threat (APT)-groepen zoals APT28 (ook bekend als Fancy Bear) hun tactieken verder ontwikkelen om zelfs robuuste beveiligingsmaatregelen te omzeilen.

In deze huiveringwekkende zaak infiltreerden Russische hackers het wifi-netwerk van een slachtoffer niet door het rechtstreeks te schenden, maar door een organisatie aan de overkant van de straat te compromitteren. Het incident onderstreept de groeiende behoefte aan waakzaamheid met betrekking tot de vaak over het hoofd geziene risico's van wifi-netwerken.

De anatomie van de aanval

De aanval begon met een klassieke wachtwoordspraycampagne. De hackers kregen inloggegevens voor een service die werd gebruikt door hun primaire doelwit, aangeduid als "Organisatie A." Hun eerste pogingen werden echter gedwarsboomd door multi-factor authenticatie (MFA), waardoor ze deze inloggegevens niet konden misbruiken.

Niet afgeschrikt, verplaatsten de hackers hun focus naar een nabijgelegen gebouw waarin een secundaire entiteit, "Organisatie B", was gevestigd. Door een apparaat in het netwerk van Organisatie B te compromitteren dat zowel een bekabelde Ethernet-verbinding als een actieve Wi-Fi-adapter had, wisten de aanvallers hun weg te vinden naar het Wi-Fi-netwerk van Organisatie A. De cyberespionagegroep stopte daar niet: ze compromitterden ook een derde entiteit, "Organisatie C", die extra connectiviteitspaden naar Organisatie A bood.

Sluipen en misleiden: het gebruik van technieken om van het land te leven

De hackers hebben hun sporen nauwkeurig gewist, door gebruik te maken van Microsofts eigen Cipher.exe- tool, een legitiem hulpprogramma dat doorgaans wordt gebruikt voor het veilig verwijderen van gegevens. Dit was de eerste keer dat Volexity Cipher.exe op zo'n manier misbruikt zag worden, wat de innovatieve aanpak van de groep onderstreepte.

Bovendien vertrouwde de groep zwaar op "living-off-the-land"-technieken, waarbij ingebouwde tools en legitieme software worden gebruikt om detectie te omzeilen. Zulke methoden maken het voor verdedigers aanzienlijk moeilijker om kwaadaardige activiteiten toe te schrijven of te identificeren.

APT28: Een beruchte speler in cyberespionage

Hoewel Volexity na eerste onderzoeken niet zeker wist wie de daders waren, bevestigde een later rapport van Microsoft in 2024 dat de tactieken de kenmerken van Forest Blizzard droegen, een groep die ook wel APT28, Fancy Bear of Sofacy wordt genoemd. APT28 is een bekende Russische cyberespionage-eenheid met een lange geschiedenis van het targeten van geopolitieke tegenstanders .

In dit geval wilden de aanvallers toegang krijgen tot gevoelige gegevens over Oekraïne, aangezien de inbreuk plaatsvond kort voor de Russische invasie van het land in 2022.

Een nieuw soort nabijheidsaanval

Wat de Nearest Neighbor Attack onderscheidt, is de vindingrijkheid ervan. Traditionele close-access-operaties vereisen vaak dat aanvallers fysiek in de buurt van hun doelwitten zijn, waardoor het risico op blootstelling toeneemt. Deze methode maakt echter gebruik van gecompromitteerde apparaten op naburige locaties om dezelfde voordelen op basis van nabijheid te behalen zonder fysieke aanwezigheid in gevaar te brengen.

"Deze aanval komt in feite neer op een close access-operatie, maar het risico om fysiek geïdentificeerd of vastgehouden te worden is weggenomen", legt Volexity uit. De aanpak toont de vindingrijkheid en vastberadenheid van moderne APT-groepen.

Implicaties voor cyberbeveiliging: de verborgen risico's van wifi-netwerken

De Nearest Neighbor Attack dient als een grimmige herinnering dat Wi-Fi-netwerken vaak een over het hoofd geziene kwetsbaarheid blijven in cybersecuritystrategieën. Hoewel organisaties zwaar hebben geïnvesteerd in het beveiligen van internetgerichte services met MFA en andere maatregelen, is dezelfde strengheid niet toegepast op Wi-Fi-netwerken.

Om zich te verdedigen tegen soortgelijke aanvallen, moeten organisaties:

  • Voer grondige beveiligingsbeoordelingen uit van alle draadloze netwerken.
  • Controleer op ongeautoriseerde apparaten die verbinding maken met Wi-Fi-netwerken.
  • Beperk waar mogelijk de toegang tot kritieke systemen via Wi-Fi-verbindingen.
  • Zorg voor sterke wifi-encryptie en werk uw toegangsgegevens regelmatig bij.
  • Train medewerkers om ongebruikelijke netwerkactiviteiten te herkennen en te melden.

Een wake-upcall voor cyberverdedigers

De Nearest Neighbor Attack illustreert hoe cyberespionagegroepen zoals APT28 blijven innoveren en misbruik maken van over het hoofd geziene kwetsbaarheden om hun doelen te bereiken. Nu wifi-netwerken een integraal onderdeel worden van moderne operaties, moet het beveiligen ervan met dezelfde belangrijkheid worden behandeld als andere kritieke systemen.

Deze zaak zou organisaties wereldwijd moeten wakker schudden om hun aanpak van draadloze beveiliging te heroverwegen. Geavanceerde bedreigingen vereisen geavanceerde verdedigingen en de kosten van zelfgenoegzaamheid zijn wellicht veel te hoog.

Bezig met laden...