Rabattoffert för flera licenser
Datorsäkerhet Ryska cyberspioner utnyttjar närhet i innovativ Wi-Fi-attack

Ryska cyberspioner utnyttjar närhet i innovativ Wi-Fi-attack

Med Mura år Datorsäkerhet
Översätt till:
Svenska

En rysk cyberspionagegrupp har tagit hackande uppfinningsrikedom till en farlig ny nivå med en teknik som kallas "Nearest Neighbor Attack". Denna metod, upptäckt av cybersäkerhetsföretaget Volexity, avslöjar hur Advanced Persistent Threat (APT)-grupper som APT28 (även känd som Fancy Bear) utvecklar sin taktik för att kringgå till och med robusta säkerhetsåtgärder.

I det här skrämmande fallet infiltrerade ryska hackare ett offers Wi-Fi-nätverk inte genom att bryta det direkt, utan genom att äventyra en organisation som ligger tvärs över gatan. Incidenten visar på ett växande behov av vaksamhet när det gäller de ofta förbisedda riskerna med Wi-Fi-nätverk.

Attackens anatomi

Attacken började med en klassisk lösenordsspraykampanj. Hackarna fick inloggningsuppgifter för en tjänst som används av deras primära mål, kallad "Organisation A." Men deras första ansträngningar omintetgjordes av multifaktorautentisering (MFA), vilket hindrade dem från att utnyttja dessa referenser.

Inte avskräckt, flyttade hackarna fokus till en närliggande byggnad med en sekundär enhet, "Organisation B." Genom att kompromissa med en enhet i organisation B:s nätverk som hade både en trådbunden Ethernet-anslutning och en aktiv Wi-Fi-adapter, slog angriparna sig in i organisation A:s Wi-Fi-nätverk. Cyberspionagegruppen slutade inte där: de äventyrade en tredje enhet, "Organisation C", som gav ytterligare anslutningsvägar till organisation A.

Stealth and Deception: Användningen av tekniker för att leva utanför landet

Hackarna raderade noggrant sina spår och utnyttjade Microsofts inbyggda Cipher.exe- verktyg – ett legitimt verktyg som vanligtvis används för säker radering av data. Detta var första gången Volexity hade stött på Cipher.exe missbrukat på ett sådant sätt, vilket understryker gruppens innovativa tillvägagångssätt.

Dessutom förlitade gruppen sig mycket på "leva-off-the-land"-tekniker, som innebär att man utnyttjar inbyggda verktyg och legitim programvara för att undvika upptäckt. Sådana metoder gör det betydligt svårare för försvarare att tillskriva eller identifiera skadlig aktivitet.

APT28: En ökänd spelare inom cyberspionage

Även om inledande undersökningar gjorde Volexity osäker på förövarna, bekräftade en efterföljande rapport från Microsoft 2024 att taktiken bar kännetecken för Forest Blizzard - en grupp som också spårades som APT28, Fancy Bear eller Sofacy. APT28 är en välkänd rysk cyberspionageenhet med en lång historia av att rikta in sig på geopolitiska motståndare .

I det här fallet syftade angriparna på att komma åt känsliga uppgifter relaterade till Ukraina, eftersom intrånget inträffade strax före Rysslands invasion av landet 2022.

En ny typ av närhetsattack

Det som utmärker Nearest Neighbour Attack är dess uppfinningsrikedom. Traditionella närgångsoperationer kräver ofta att angripare är fysiskt nära sina mål, vilket ökar risken för exponering. Den här metoden utnyttjar emellertid komprometterade enheter på närliggande platser för att uppnå samma närhetsbaserade fördelar utan att riskera fysisk närvaro.

"Denna attack motsvarar i själva verket en närgångsoperation, men risken för att bli fysiskt identifierad eller fängslad har tagits bort," förklarade Volexity. Tillvägagångssättet visar på fyndighet och beslutsamhet hos moderna APT-grupper.

Konsekvenser för cybersäkerhet: De dolda riskerna med Wi-Fi-nätverk

The Nearest Neighbour Attack tjänar som en skarp påminnelse om att Wi-Fi-nätverk ofta förblir en förbisedd sårbarhet i cybersäkerhetsstrategier. Medan organisationer har investerat mycket i att säkra internetanslutna tjänster med MFA och andra åtgärder, har samma strikthet inte tillämpats på Wi-Fi-nätverk.

För att försvara sig mot liknande attacker bör organisationer:

  • Genomför noggranna säkerhetsbedömningar av alla trådlösa nätverk.
  • Övervaka för obehöriga enheter anslutna till Wi-Fi-nätverk.
  • Begränsa åtkomsten till kritiska system från Wi-Fi-anslutningar där det är möjligt.
  • Implementera stark Wi-Fi-kryptering och uppdatera regelbundet åtkomstuppgifter.
  • Träna anställda att känna igen och rapportera ovanlig nätverksaktivitet.

En väckarklocka för cyberförsvarare

The Nearest Neighbour Attack illustrerar hur cyberspionagegrupper som APT28 fortsätter att förnya sig och utnyttjar förbisedda sårbarheter i jakten på sina mål. Eftersom Wi-Fi-nätverk blir en integrerad del av modern verksamhet måste säkrandet av dem behandlas med samma vikt som andra kritiska system.

Detta fall bör fungera som en väckarklocka för organisationer över hela världen att ompröva sin strategi för trådlös säkerhet. Avancerade hot kräver avancerade försvar, och kostnaden för självbelåtenhet kan vara alldeles för hög.

Läser in...