Российские кибершпионы используют близость для инновационной атаки на Wi-Fi
Российская группа кибершпионажа вывела хакерскую изобретательность на новый опасный уровень с помощью техники, получившей название «Атака ближайшего соседа». Этот метод, обнаруженный фирмой по кибербезопасности Volexity, показывает, как группы Advanced Persistent Threat (APT), такие как APT28 (также известная как Fancy Bear), совершенствуют свою тактику, чтобы обходить даже надежные меры безопасности.
В этом леденящем душу случае российские хакеры проникли в сеть Wi-Fi жертвы, не взломав ее напрямую, а скомпрометировав организацию, расположенную через дорогу. Инцидент подчеркивает растущую необходимость в бдительности в отношении часто упускаемых из виду рисков сетей Wi-Fi.
Оглавление
Анатомия атаки
Атака началась с классической кампании по распылению паролей. Хакеры получили учетные данные для сервиса, используемого их основной целью, называемой «Организация А». Однако их первоначальные усилия были сорваны многофакторной аутентификацией (MFA), что не позволило им использовать эти учетные данные.
Не смутившись, хакеры переключили внимание на соседнее здание, в котором размещалась вторичная организация, «Организация B». Взломав устройство в сети организации B, имевшее как проводное Ethernet-подключение, так и активный адаптер Wi-Fi, злоумышленники проникли в сеть Wi-Fi организации A. Группа кибершпионажа не остановилась на этом: они также взломали третью организацию, «Организацию C», которая предоставила дополнительные пути подключения к организации A.
Скрытность и обман: использование методов жизни за пределами земли
Хакеры тщательно стерли свои следы, используя собственный инструмент Microsoft Cipher.exe — легитимную утилиту, обычно используемую для безопасного удаления данных. Это был первый случай, когда Volexity столкнулась с таким злоупотреблением Cipher.exe, что подчеркивает инновационный подход группы.
Кроме того, группа в значительной степени полагалась на методы "жизни вне земли", которые включают использование встроенных инструментов и легитимного программного обеспечения для избежания обнаружения. Такие методы значительно затрудняют для защитников определение или идентификацию вредоносной активности.
APT28: известный игрок в кибершпионаже
Хотя первоначальные расследования не дали Volexity уверенности в виновниках, последующий отчет Microsoft в 2024 году подтвердил, что тактика имела отличительные черты Forest Blizzard — группы, также известной как APT28, Fancy Bear или Sofacy. APT28 — известное российское подразделение кибершпионажа с долгой историей атак на геополитических противников .
В данном случае целью злоумышленников был доступ к конфиденциальным данным, связанным с Украиной, поскольку утечка произошла незадолго до вторжения России в эту страну в 2022 году.
Новый вид атаки с близкого расстояния
Что отличает Nearest Neighbor Attack, так это его изобретательность. Традиционные операции с близким доступом часто требуют, чтобы злоумышленники находились физически рядом со своими целями, что увеличивает риск разоблачения. Однако этот метод использует скомпрометированные устройства в соседних местах для достижения тех же преимуществ, основанных на близости, без риска физического присутствия.
«Эта атака фактически представляет собой операцию с закрытым доступом, но риск быть физически идентифицированным или задержанным был устранен», — пояснила Volexity. Такой подход демонстрирует находчивость и решимость современных групп APT.
Последствия для кибербезопасности: скрытые риски сетей Wi-Fi
Атака ближайшего соседа служит суровым напоминанием о том, что сети Wi-Fi часто остаются упускаемой из виду уязвимостью в стратегиях кибербезопасности. В то время как организации вложили значительные средства в обеспечение безопасности интернет-сервисов с помощью MFA и других мер, та же строгость не применялась к сетям Wi-Fi.
Для защиты от подобных атак организациям следует:
- Проведите тщательную оценку безопасности всех беспроводных сетей.
- Отслеживайте несанкционированные устройства, подключенные к сетям Wi-Fi.
- По возможности ограничьте доступ к критически важным системам через Wi-Fi-соединения.
- Внедрите надежное шифрование Wi-Fi и регулярно обновляйте учетные данные доступа.
- Обучите сотрудников распознавать необычную сетевую активность и сообщать о ней.
Тревожный звонок для киберзащитников
Атака ближайшего соседа иллюстрирует, как кибершпионские группы, такие как APT28, продолжают внедрять инновации, эксплуатируя упущенные уязвимости для достижения своих целей. Поскольку сети Wi-Fi становятся неотъемлемой частью современных операций, их безопасность должна рассматриваться с той же важностью, что и безопасность других критически важных систем.
Этот случай должен стать звонком для организаций по всему миру, чтобы пересмотреть свой подход к безопасности беспроводной связи. Расширенные угрозы требуют расширенных мер защиты, а цена самоуспокоенности может оказаться слишком высокой.