俄羅斯網路間諜利用鄰近性進行創新的 Wi-Fi 攻擊
俄羅斯網路間諜組織利用一種被稱為「最近鄰攻擊」的技術,將駭客技術提升到了危險的新水平。這種方法由網路安全公司 Volexity 發現,揭示了APT28(也稱為 Fancy Bear)等高級持續性威脅 (APT) 組織如何發展其策略以繞過強大的安全措施。
在這起令人毛骨悚然的案件中,俄羅斯駭客不是透過直接破壞受害者的 Wi-Fi 網絡,而是透過危害街對面的組織來滲透受害者的 Wi-Fi 網路。這事件凸顯出人們越來越需要對 Wi-Fi 網路經常被忽視的風險保持警惕。
目錄
攻擊的剖析
這次攻擊始於經典的密碼噴射活動。駭客獲得了其主要目標(稱為「組織 A」)使用的服務的憑證。然而,他們最初的努力受到多重身份驗證 (MFA) 的阻礙,導致他們無法利用這些憑證。
駭客們並沒有被嚇倒,他們將注意力轉移到附近一座設有二級實體「組織 B」的建築。透過破壞組織 B 網路中同時具有有線乙太網路連接和活動 Wi-Fi 適配器的設備,攻擊者透過橋接方式進入組織 A 的 Wi-Fi 網路。網路間諜組織並沒有就此止步:他們還破壞了第三個實體“組織 C”,該實體為組織 A 提供了額外的連接路徑。
隱密與欺騙:靠地謀生技術的運用
駭客利用微軟的原生Cipher.exe工具(一種通常用於安全資料刪除的合法實用程式)精心清除了他們的蹤跡。這標誌著 Volexity 第一次遇到 Cipher.exe 以這種方式被濫用,凸顯了該組織的創新方法。
此外,該組織嚴重依賴「離地生活」技術,其中涉及利用內建工具和合法軟體來逃避偵測。此類方法使防禦者更難歸因或識別惡意活動。
APT28:網路間諜活動中惡名昭彰的玩家
儘管最初的調查讓 Volexity 無法確定肇事者,但微軟在 2024 年發布的後續報告證實,這些策略帶有森林暴雪的特徵——該組織也被追蹤為 APT28、Fancy Bear 或 Sofacy。 APT28 是俄羅斯著名的網路間諜組織,具有針對地緣政治對手的悠久歷史。
在本例中,攻擊者的目的是存取與烏克蘭相關的敏感數據,因為此外洩發生在俄羅斯 2022 年入侵該國之前不久。
一種新型的鄰近攻擊
最近鄰攻擊的獨特之處在於它的獨創性。傳統的近距離行動通常要求攻擊者身體靠近目標,增加了暴露的風險。然而,這種方法利用鄰近位置的受損設備來實現相同的基於鄰近性的優勢,而無需冒物理存在的風險。
Volexity 解釋說:“這次攻擊實際上相當於一次近距離接觸行動,但被識別或拘留的風險已被消除。”該方法展示了現代 APT 組織的足智多謀和決心。
對網路安全的影響:Wi-Fi 網路的隱藏風險
最近鄰攻擊清楚提醒我們,Wi-Fi 網路往往仍然是網路安全策略中被忽略的漏洞。儘管各組織已投入大量資金透過 MFA 和其他措施保護面向網際網路的服務,但 Wi-Fi 網路並未採取同樣嚴格的措施。
為了防禦類似的攻擊,組織應該:
- 對所有無線網路進行徹底的安全評估。
- 監控連接到 Wi-Fi 網路的未經授權的裝置。
- 盡可能限制透過 Wi-Fi 連線存取關鍵系統。
- 實施強大的 Wi-Fi 加密並定期更新存取憑證。
- 培訓員工識別並報告異常網路活動。
網路防禦者的警鐘
最近鄰攻擊說明了像 APT28 這樣的網路間諜組織如何不斷創新,利用被忽視的漏洞來實現其目標。隨著 Wi-Fi 網路成為現代營運不可或缺的一部分,必須像對待其他關鍵系統一樣重視保護它們。
此案例應該為世界各地的組織敲響警鐘,讓他們重新考慮其無線安全方法。先進的威脅需要先進的防禦,而自滿的成本可能太高了。