Báo giá giảm giá nhiều giấy phép
Bảo mật máy tính Gián điệp mạng Nga khai thác sự gần gũi trong cuộc tấn...

Gián điệp mạng Nga khai thác sự gần gũi trong cuộc tấn công Wi-Fi sáng tạo

Đến năm Mura năm Bảo mật máy tính
Dịch sang:
Tiếng Việt Nam

Một nhóm gián điệp mạng của Nga đã đưa kỹ thuật hack lên một tầm cao mới nguy hiểm với một kỹ thuật được gọi là "Tấn công hàng xóm gần nhất". Phương pháp này, được công ty an ninh mạng Volexity phát hiện, cho thấy cách các nhóm Đe dọa dai dẳng nâng cao (APT) như APT28 (còn được gọi là Fancy Bear) đang phát triển các chiến thuật của chúng để vượt qua ngay cả các biện pháp bảo mật mạnh mẽ.

Trong trường hợp rùng rợn này, tin tặc Nga đã xâm nhập vào mạng Wi-Fi của nạn nhân không phải bằng cách xâm phạm trực tiếp mà bằng cách xâm phạm một tổ chức nằm bên kia đường. Sự cố này làm nổi bật nhu cầu cảnh giác ngày càng tăng đối với những rủi ro thường bị bỏ qua của mạng Wi-Fi.

Giải phẫu của cuộc tấn công

Cuộc tấn công bắt đầu bằng một chiến dịch rải mật khẩu cổ điển. Tin tặc đã lấy được thông tin đăng nhập cho một dịch vụ được mục tiêu chính của chúng sử dụng, được gọi là "Tổ chức A". Tuy nhiên, những nỗ lực ban đầu của chúng đã bị ngăn chặn bởi xác thực đa yếu tố (MFA), ngăn chúng khai thác các thông tin đăng nhập này.

Không nản lòng, tin tặc chuyển hướng tập trung sang một tòa nhà gần đó, nơi có một thực thể thứ cấp, "Tổ chức B." Bằng cách xâm nhập một thiết bị trong mạng của Tổ chức B có cả kết nối Ethernet có dây và bộ điều hợp Wi-Fi đang hoạt động, những kẻ tấn công đã xâm nhập vào mạng Wi-Fi của Tổ chức A. Nhóm gián điệp mạng không dừng lại ở đó: chúng còn xâm nhập vào một thực thể thứ ba, "Tổ chức C", cung cấp thêm các đường dẫn kết nối đến Tổ chức A.

Lén lút và lừa dối: Sử dụng các kỹ thuật sống ngoài đất liền

Các tin tặc đã tỉ mỉ xóa dấu vết của chúng, tận dụng công cụ Cipher.exe gốc của Microsoft—một tiện ích hợp pháp thường được sử dụng để xóa dữ liệu an toàn. Đây là lần đầu tiên Volexity phát hiện Cipher.exe bị lạm dụng theo cách như vậy, nhấn mạnh cách tiếp cận sáng tạo của nhóm.

Ngoài ra, nhóm này còn dựa nhiều vào các kỹ thuật "sống ngoài đất liền", bao gồm khai thác các công cụ tích hợp và phần mềm hợp pháp để tránh bị phát hiện. Các phương pháp như vậy khiến những người bảo vệ khó có thể quy kết hoặc xác định hoạt động độc hại.

APT28: Một tay chơi khét tiếng trong lĩnh vực gián điệp mạng

Mặc dù các cuộc điều tra ban đầu khiến Volexity không chắc chắn về thủ phạm, một báo cáo tiếp theo từ Microsoft vào năm 2024 đã xác nhận rằng các chiến thuật này mang dấu ấn của Forest Blizzard—một nhóm cũng được theo dõi với tên gọi APT28, Fancy Bear hoặc Sofacy. APT28 là một đơn vị gián điệp mạng nổi tiếng của Nga với lịch sử lâu dài trong việc nhắm mục tiêu vào các đối thủ địa chính trị .

Trong trường hợp này, kẻ tấn công nhằm mục đích truy cập dữ liệu nhạy cảm liên quan đến Ukraine vì vụ vi phạm xảy ra ngay trước cuộc xâm lược của Nga vào quốc gia này vào năm 2022.

Một loại tấn công gần mới

Điểm khác biệt của Nearest Neighbor Attack là tính sáng tạo của nó. Các hoạt động tiếp cận gần truyền thống thường yêu cầu kẻ tấn công phải ở gần mục tiêu, làm tăng nguy cơ bị lộ. Tuy nhiên, phương pháp này tận dụng các thiết bị bị xâm phạm ở các vị trí lân cận để đạt được cùng lợi thế dựa trên khoảng cách mà không có nguy cơ hiện diện vật lý.

Volexity giải thích: "Cuộc tấn công này thực chất là một hoạt động tiếp cận gần, nhưng nguy cơ bị nhận dạng hoặc giam giữ về mặt vật lý đã được loại bỏ". Cách tiếp cận này chứng minh sự tháo vát và quyết tâm của các nhóm APT hiện đại.

Tác động đến an ninh mạng: Những rủi ro tiềm ẩn của mạng Wi-Fi

Nearest Neighbor Attack đóng vai trò như một lời nhắc nhở nghiêm khắc rằng mạng Wi-Fi thường vẫn là lỗ hổng bị bỏ qua trong các chiến lược an ninh mạng. Trong khi các tổ chức đã đầu tư mạnh vào việc bảo mật các dịch vụ trực tiếp trên internet bằng MFA và các biện pháp khác, thì sự nghiêm ngặt tương tự vẫn chưa được áp dụng cho mạng Wi-Fi.

Để chống lại các cuộc tấn công tương tự, các tổ chức nên:

  • Tiến hành đánh giá bảo mật toàn diện cho tất cả các mạng không dây.
  • Giám sát các thiết bị trái phép được kết nối với mạng Wi-Fi.
  • Hạn chế truy cập vào các hệ thống quan trọng từ kết nối Wi-Fi bất cứ khi nào có thể.
  • Triển khai mã hóa Wi-Fi mạnh mẽ và thường xuyên cập nhật thông tin đăng nhập.
  • Đào tạo nhân viên cách nhận biết và báo cáo hoạt động bất thường trên mạng.

Lời cảnh tỉnh cho những người bảo vệ mạng

Cuộc tấn công Nearest Neighbor minh họa cách các nhóm gián điệp mạng như APT28 tiếp tục đổi mới, khai thác các lỗ hổng bị bỏ qua để theo đuổi mục tiêu của chúng. Khi mạng Wi-Fi trở thành một phần không thể thiếu trong các hoạt động hiện đại, việc bảo mật chúng phải được coi trọng như các hệ thống quan trọng khác.

Trường hợp này nên là lời cảnh tỉnh cho các tổ chức trên toàn thế giới để xem xét lại cách tiếp cận của họ đối với bảo mật không dây. Các mối đe dọa tiên tiến đòi hỏi các biện pháp phòng thủ tiên tiến và cái giá của sự tự mãn có thể quá cao.

Đang tải...