Ruskí kyberšpióni využívajú blízkosť v inovatívnom útoku na Wi-Fi

Ruská kyberšpionážna skupina posunula hackerskú vynaliezavosť na nebezpečnú novú úroveň pomocou techniky nazvanej „útok najbližšieho suseda“. Táto metóda, ktorú objavila firma Volexity pre kybernetickú bezpečnosť, odhaľuje, ako skupiny Advanced Persistent Threat (APT), ako je APT28 (tiež známy ako Fancy Bear), vyvíjajú svoje taktiky, aby obišli aj robustné bezpečnostné opatrenia.

V tomto mrazivom prípade ruskí hackeri prenikli do Wi-Fi siete obete nie tým, že by ju narušili priamo, ale kompromitovali organizáciu umiestnenú na druhej strane ulice. Incident poukazuje na rastúcu potrebu ostražitosti, pokiaľ ide o často prehliadané riziká sietí Wi-Fi.

Anatómia útoku

Útok začal klasickou kampaňou na presprejovanie hesiel. Hackeri získali poverenia pre službu, ktorú používa ich primárny cieľ, označovaný ako „Organizácia A“. Ich počiatočné úsilie však zmarila viacfaktorová autentifikácia (MFA), ktorá im zabránila vo využívaní týchto prihlasovacích údajov.

Hackeri sa nenechali odradiť a zamerali sa na neďalekú budovu, v ktorej sídli sekundárna entita, „Organizácia B“. Kompromitovaním zariadenia v sieti organizácie B, ktoré malo káblové ethernetové pripojenie aj aktívny adaptér Wi-Fi, sa útočníci dostali do siete Wi-Fi organizácie A. Kyberšpionážna skupina tam neskončila: kompromitovala aj tretiu entitu, „Organizáciu C“, ktorá poskytla organizácii A ďalšie možnosti pripojenia.

Stealth and Deception: Použitie techník života mimo zeme

Hackeri starostlivo vymazali svoje stopy a využili natívny nástroj Microsoft Cipher.exe – legitímny nástroj, ktorý sa zvyčajne používa na bezpečné vymazanie údajov. Toto bolo prvýkrát, čo sa Volexity stretla s takýmto spôsobom zneužitým Cipher.exe, čo podčiarkuje inovatívny prístup skupiny.

Okrem toho sa skupina vo veľkej miere spoliehala na techniky „života mimo územia“, ktoré zahŕňajú využívanie vstavaných nástrojov a legitímneho softvéru, aby sa vyhli detekcii. Takéto metódy výrazne sťažujú obrancom pripísať alebo identifikovať škodlivú činnosť.

APT28: Notoricky známy hráč v kyberšpionáži

Aj keď počiatočné vyšetrovanie spôsobilo, že Volexity si nie je istý páchateľmi, následná správa od spoločnosti Microsoft v roku 2024 potvrdila, že taktika niesla znaky Forest Blizzard – skupiny, ktorá bola tiež sledovaná ako APT28, Fancy Bear alebo Sofacy. APT28 je známa ruská kyberšpionážna jednotka s dlhou históriou zameriavania sa na geopolitických protivníkov .

V tomto prípade mali útočníci za cieľ získať prístup k citlivým údajom týkajúcim sa Ukrajiny, keďže k narušeniu došlo krátko pred ruskou inváziou do krajiny v roku 2022.

Nový druh útoku na blízkosť

To, čo odlišuje útok na najbližšieho suseda, je jeho vynaliezavosť. Tradičné operácie s blízkym prístupom často vyžadujú, aby boli útočníci fyzicky blízko svojich cieľov, čím sa zvyšuje riziko odhalenia. Táto metóda však využíva kompromitované zariadenia v susedných lokalitách na dosiahnutie rovnakých výhod založených na blízkosti bez rizika fyzickej prítomnosti.

"Tento útok sa v skutočnosti rovná operácii blízkeho prístupu, ale riziko fyzickej identifikácie alebo zadržania bolo odstránené," vysvetlil Volexity. Tento prístup demonštruje vynaliezavosť a odhodlanie moderných skupín APT.

Dôsledky pre kybernetickú bezpečnosť: Skryté riziká sietí Wi-Fi

Útok najbližšieho suseda slúži ako jasná pripomienka, že siete Wi-Fi často zostávajú prehliadanou zraniteľnosťou v stratégiách kybernetickej bezpečnosti. Zatiaľ čo organizácie veľa investovali do zabezpečenia internetových služieb pomocou MFA a iných opatrení, rovnaká prísnosť sa neuplatnila na siete Wi-Fi.

Na obranu proti podobným útokom by organizácie mali:

• Vykonajte dôkladné bezpečnostné hodnotenia všetkých bezdrôtových sietí.
• Monitorujte neautorizované zariadenia pripojené k sieťam Wi-Fi.
• Obmedzte prístup ku kritickým systémom z pripojení Wi-Fi všade, kde je to možné.
• Implementujte silné šifrovanie Wi-Fi a pravidelne aktualizujte prístupové údaje.
• Naučte zamestnancov rozpoznávať a hlásiť nezvyčajnú sieťovú aktivitu.

Budíček pre kybernetických obrancov

Útok najbližšieho suseda ilustruje, ako kyberšpionážne skupiny ako APT28 pokračujú v inováciách, využívajúc prehliadané zraniteľnosti pri dosahovaní svojich cieľov. Keďže siete Wi-Fi sa stávajú neoddeliteľnou súčasťou moderných operácií, ich zabezpečeniu je potrebné venovať rovnakú dôležitosť ako iným kritickým systémom.

Tento prípad by mal slúžiť ako budíček pre organizácie na celom svete, aby prehodnotili svoj prístup k bezdrôtovej bezpečnosti. Pokročilé hrozby vyžadujú pokročilú obranu a náklady na sebauspokojenie môžu byť príliš vysoké.