俄罗斯网络间谍利用近距离发起创新型 Wi-Fi 攻击

一个俄罗斯网络间谍组织利用一种被称为“最近邻攻击”的技术，将黑客攻击的精妙之处提升到了一个危险的新水平。网络安全公司 Volexity 发现的这种方法揭示了APT28（也称为 Fancy Bear）等高级持续性威胁 (APT) 组织如何改进其策略，以绕过甚至强大的安全措施。

在这起令人毛骨悚然的案件中，俄罗斯黑客并非直接入侵受害者的 Wi-Fi 网络，而是入侵了街对面的一家组织。这一事件凸显了人们越来越需要警惕经常被忽视的 Wi-Fi 网络风险。

攻击剖析

此次攻击始于一场典型的密码喷洒活动。黑客获得了其主要目标（称为“组织 A”）使用的服务的凭证。然而，他们的初步努力被多因素身份验证 (MFA) 挫败，阻止他们利用这些凭证。

黑客们没有气馁，而是将攻击重点转移到附近的一栋建筑，里面住着一个次要实体“组织 B”。通过入侵组织 B 网络中的一台同时具有有线以太网连接和活动 Wi-Fi 适配器的设备，攻击者成功进入了组织 A 的 Wi-Fi 网络。网络间谍组织并没有就此止步：他们还入侵了第三个实体“组织 C”，该实体为组织 A 提供了额外的连接路径。

隐身与欺骗：使用“离地谋生”技术

黑客们利用微软的原生Cipher.exe工具（一种通常用于安全删除数据的合法实用程序）精心抹去了他们的踪迹。这是 Volexity 第一次遇到 Cipher.exe 被如此滥用的情况，凸显了该组织的创新方法。

此外，该组织严重依赖“离地攻击”技术，即利用内置工具和合法软件来逃避检测。此类方法使得防御者很难归因或识别恶意活动。

APT28：网络间谍活动中臭名昭著的参与者

尽管最初的调查让 Volexity 无法确定犯罪者，但微软在 2024 年发布的后续报告证实，这些策略具有 Forest Blizzard 的特色——该组织也被称为 APT28、Fancy Bear 或 Sofacy。APT28 是一个著名的俄罗斯网络间谍组织，长期以来一直以地缘政治对手为目标。

在这种情况下，攻击者的目的是访问与乌克兰相关的敏感数据，因为此次入侵发生在俄罗斯 2022 年入侵该国之前不久。

一种新型近距离攻击

近邻攻击的独特之处在于其独创性。传统的近距离攻击通常要求攻击者在物理上接近目标，这增加了暴露的风险。然而，这种方法利用邻近位置的受感染设备来实现相同的基于邻近的优势，而无需冒物理存在的风险。

Volexity 解释道：“这次攻击实际上相当于一次近距离接触行动，但被人识别或拘留的风险已被消除。”这种方法展示了现代 APT 组织的足智多谋和决心。

对网络安全的影响：Wi-Fi 网络的隐藏风险

最近邻居攻击提醒我们，Wi-Fi 网络在网络安全策略中往往是一个被忽视的漏洞。虽然各组织已投入大量资金，使用 MFA 和其他措施保护面向互联网的服务，但 Wi-Fi 网络并未受到同样严格的保护。

为了防御类似的攻击，组织应该：

• 对所有无线网络进行彻底的安全评估。
• 监控连接到 Wi-Fi 网络的未经授权的设备。
• 尽可能限制通过 Wi-Fi 连接访问关键系统。
• 实施强大的 Wi-Fi 加密并定期更新访问凭证。
• 培训员工识别并报告异常的网络活动。

对网络防御者的警钟

“最近邻居攻击”表明，APT28 等网络间谍组织不断创新，利用被忽视的漏洞实现其目标。随着 Wi-Fi 网络成为现代运营不可或缺的一部分，保护 Wi-Fi 网络必须与其他关键系统同等重要。

此案应成为全球组织重新考虑其无线安全方法的警钟。高级威胁需要高级防御，而自满的代价可能太高。