Російські кібершпигуни використовують Proximity для інноваційної атаки на Wi-Fi

Російська група кібершпигунства вивела хакерську винахідливість на небезпечний новий рівень за допомогою техніки, яка отримала назву «Атака найближчого сусіда». Цей метод, відкритий фірмою з кібербезпеки Volexity, показує, як групи Advanced Persistent Threat (APT), такі як APT28 (також відомі як Fancy Bear), розвивають свою тактику, щоб обійти навіть надійні заходи безпеки.

У цьому жахливому випадку російські хакери проникли в мережу Wi-Fi жертви не зламавши її безпосередньо, а скомпрометувавши організацію, розташовану навпроти. Інцидент підкреслює зростаючу потребу в пильності щодо ризиків мереж Wi-Fi, про які часто не помічають.

Анатомія нападу

Атака почалася з класичної кампанії розпилення паролів. Хакери отримали облікові дані для послуги, яку використовувала їхня основна мета, яка називається «Організація А». Однак їхні початкові спроби були зірвані через багатофакторну автентифікацію (MFA), яка не дозволяла їм використовувати ці облікові дані.

Не зупинившись, хакери перемістили фокус на сусідню будівлю, в якій перебувала вторинна організація, «Організація Б». Зламавши пристрій у мережі організації B, який мав дротове з’єднання Ethernet і активний адаптер Wi-Fi, зловмисники проникли в мережу Wi-Fi організації A. Група кібершпигунства на цьому не зупинилася: вони також скомпрометували третю особу, «Організацію С», яка надала додаткові шляхи підключення до Організації А.

Стелс і обман: використання методів життя поза межами землі

Хакери ретельно стерли свої сліди, використовуючи рідний інструмент Microsoft Cipher.exe — законну утиліту, яка зазвичай використовується для безпечного видалення даних. Це був перший випадок, коли Volexity зіткнувся з таким зловживанням Cipher.exe, що підкреслило інноваційний підхід групи.

Крім того, група значною мірою покладалася на методи «життя поза межами землі», які включають використання вбудованих інструментів і законного програмного забезпечення, щоб уникнути виявлення. Такі методи значно ускладнюють захисникам визначення чи виявлення зловмисної активності.

APT28: відомий гравець у кібершпигунстві

Хоча початкові розслідування не дали Volexity впевненості щодо зловмисників, наступний звіт Microsoft у 2024 році підтвердив, що ця тактика мала ознаки Forest Blizzard — групи, яку також відстежують як APT28, Fancy Bear або Sofacy. APT28 — відомий російський підрозділ кібершпигунства з довгою історією боротьби з геополітичними противниками .

У цьому випадку зловмисники мали на меті отримати доступ до конфіденційних даних, пов’язаних з Україною, оскільки злом стався незадовго до вторгнення Росії в країну у 2022 році.

Новий вид атаки з близькості

Те, що відрізняє Nearest Neighbor Attack, так це його винахідливість. Традиційні операції закритого доступу часто вимагають від зловмисників фізичної близькості до цілей, що підвищує ризик викриття. Однак цей метод використовує скомпрометовані пристрої в сусідніх місцях, щоб отримати ті самі переваги на основі близькості без ризику фізичної присутності.

«Ця атака фактично є операцією закритого доступу, але ризик фізичної ідентифікації чи затримання було усунено», — пояснив Volexity. Цей підхід демонструє винахідливість і рішучість сучасних груп APT.

Наслідки для кібербезпеки: приховані ризики мереж Wi-Fi

Атака Nearest Neighbor Attack служить яскравим нагадуванням про те, що мережі Wi-Fi часто залишаються недооціненим місцем у стратегіях кібербезпеки. У той час як організації вклали значні кошти в захист інтернет-сервісів за допомогою MFA та інших заходів, така ж суворість не була застосована до мереж Wi-Fi.

Для захисту від подібних атак організації повинні:

• Проведіть ретельну оцінку безпеки всіх бездротових мереж.
• Відстежуйте неавторизовані пристрої, підключені до мереж Wi-Fi.
• Обмежте доступ до критично важливих систем через підключення Wi-Fi, де це можливо.
• Застосуйте надійне шифрування Wi-Fi і регулярно оновлюйте облікові дані доступу.
• Навчіть співробітників розпізнавати незвичну мережеву активність і повідомляти про неї.

Тривожний дзвінок для кіберзахисників

The Nearest Neighbor Attack ілюструє, як групи кібершпигунства, такі як APT28, продовжують впроваджувати інновації, використовуючи забуті вразливості для досягнення своїх цілей. Оскільки мережі Wi-Fi стають невід’ємною частиною сучасних операцій, до їх безпеки слід ставитися так само важливо, як до інших критично важливих систем.

Цей випадок має послужити тривожним дзвінком для організацій у всьому світі, щоб переглянути свій підхід до безпеки бездротового зв’язку. Розширені загрози вимагають розширеного захисту, і ціна самовдоволення може бути занадто високою.