Руска група за кибершпионаж е хваната да влиза в мрежата на набелязана организация чрез Wi-Fi връзка, след като е хакнала системите на организация, намираща се от другата страна на улицата.
Атаката, открита през 2022 г., е разследвана от фирмата за киберсигурност Volexity, която идентифицира жертвата като организация А. Атаката е открита непосредствено преди нахлуването на Русия в Украйна и целта на хакерите очевидно е била да получат „данни от лица с експертен опит и проекти, активно свързани с Украйна“.
Това, което прави атаката отличителна, е използването на това, което Volexity описва като нова техника, която компанията е нарекла „Атака на най-близкия съсед“.
Според разследването на Volexity нападателят е успял да получи пълномощни за интернет услуга, използвана от организация А, чрез разпръскване на пароли, но пълномощията не са могли да бъдат използвани поради многофакторното удостоверяване.
След това нападателят измислил план за компрометиране на мрежата на друга организация, разположена в сграда в непосредствена близост до Организация А. След като получили достъп до тази друга структура, наречена от Volexity Организация Б, хакерите открили система, свързана с мрежата чрез кабелна Ethernet връзка.
Това устройство обаче имало и Wi-Fi адаптер, който заплахата използвалa, за да се свърже с Wi-Fi мрежата на Организация А от другата страна на улицата.
Volexity също така открива доказателства, че нападателят е компрометирал и трета близка организация – Организация C, от която се е свързал чрез Wi-Fi с Организация B и Организация A.
Нападателят е премахнал файлове и папки, за да прикрие следите си, и е постигнал това, като е използвал собствена програма на Microsoft, наречена Cipher.exe. Това е първият случай, в който Volexity вижда злоупотреба с тази програма при атака.
Първоначално компанията срещна известни затруднения при приписването на атаката на известна група , до голяма степен поради интензивното използване на техники, които затрудняват както откриването, така и приписването.
Въпреки това доклад, публикуван от Microsoft за свързана с Русия група на име Forest Blizzard през април 2024 г., разкрива значително припокриване на индикаторите за компрометиране.
Forest Blizzard се проследява от други като APT28, Sofacy и Fancy Bear, и като GruesomeLarch от Volexity.
„Разследването на Volexity разкрива докъде е готов да стигне един креативен, находчив и мотивиран колектив, за да постигне целите си в областта на кибершпионажа. Атаката на най-близкия съсед на практика се равнява на операция за близък достъп, но рискът от физическа идентификация или задържане е премахнат. Тази атака има всички предимства на това да бъдеш в непосредствена физическа близост до целта, като същевременно позволява на оператора да бъде на хиляди километри“, обяснява Volexity.
„Организациите трябва да отделят допълнително внимание на рисковете, които Wi-Fi мрежите могат да представляват за тяхната оперативна сигурност“, добави тя. „Значителна част от усилията през последните няколко години бяха насочени към намаляване на повърхността на атаките, при което услугите, насочени към интернет, бяха защитени с MFA или напълно премахнати. Същото ниво на внимание обаче не е задължително да бъде отделено на Wi-Fi мрежите.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.