Руска група за кибершпионаж е хваната да влиза в мрежата на набелязана организация чрез Wi-Fi връзка, след като е хакнала системите на организация, намираща се от другата страна на улицата.
Атаката, открита през 2022 г., е разследвана от фирмата за киберсигурност Volexity, която идентифицира жертвата като организация А. Атаката е открита непосредствено преди нахлуването на Русия в Украйна и целта на хакерите очевидно е била да получат „данни от лица с експертен опит и проекти, активно свързани с Украйна“.
Това, което прави атаката отличителна, е използването на това, което Volexity описва като нова техника, която компанията е нарекла „Атака на най-близкия съсед“.
Според разследването на Volexity нападателят е успял да получи пълномощни за интернет услуга, използвана от организация А, чрез разпръскване на пароли, но пълномощията не са могли да бъдат използвани поради многофакторното удостоверяване.
След това нападателят измислил план за компрометиране на мрежата на друга организация, разположена в сграда в непосредствена близост до Организация А. След като получили достъп до тази друга структура, наречена от Volexity Организация Б, хакерите открили система, свързана с мрежата чрез кабелна Ethernet връзка.
Това устройство обаче имало и Wi-Fi адаптер, който заплахата използвалa, за да се свърже с Wi-Fi мрежата на Организация А от другата страна на улицата.
Volexity също така открива доказателства, че нападателят е компрометирал и трета близка организация – Организация C, от която се е свързал чрез Wi-Fi с Организация B и Организация A.
Нападателят е премахнал файлове и папки, за да прикрие следите си, и е постигнал това, като е използвал собствена програма на Microsoft, наречена Cipher.exe. Това е първият случай, в който Volexity вижда злоупотреба с тази програма при атака.
Първоначално компанията срещна известни затруднения при приписването на атаката на известна група , до голяма степен поради интензивното използване на техники, които затрудняват както откриването, така и приписването.
Въпреки това доклад, публикуван от Microsoft за свързана с Русия група на име Forest Blizzard през април 2024 г., разкрива значително припокриване на индикаторите за компрометиране.
Forest Blizzard се проследява от други като APT28, Sofacy и Fancy Bear, и като GruesomeLarch от Volexity.
„Разследването на Volexity разкрива докъде е готов да стигне един креативен, находчив и мотивиран колектив, за да постигне целите си в областта на кибершпионажа. Атаката на най-близкия съсед на практика се равнява на операция за близък достъп, но рискът от физическа идентификация или задържане е премахнат. Тази атака има всички предимства на това да бъдеш в непосредствена физическа близост до целта, като същевременно позволява на оператора да бъде на хиляди километри“, обяснява Volexity.
„Организациите трябва да отделят допълнително внимание на рисковете, които Wi-Fi мрежите могат да представляват за тяхната оперативна сигурност“, добави тя. „Значителна част от усилията през последните няколко години бяха насочени към намаляване на повърхността на атаките, при което услугите, насочени към интернет, бяха защитени с MFA или напълно премахнати. Същото ниво на внимание обаче не е задължително да бъде отделено на Wi-Fi мрежите.“
