Οι ρωσικοί κρατικοί χάκερ APT28 (Fancy Bear/Forest Blizzard/Sofacy) παραβίασαν μια αμερικανική εταιρεία μέσω του εταιρικού δικτύου WiFi της ενώ ήταν χιλιάδες μίλια μακριά, αξιοποιώντας μια νέα τεχνική που ονομάζεται «επίθεση του πλησιέστερου γείτονα».
Ο ηθοποιός της απειλής στράφηκε προς τον στόχο αφού πρώτα έβαλε σε κίνδυνο έναν οργανισμό σε ένα κοντινό κτίριο εντός της εμβέλειας του WiFi.
Η επίθεση ανακαλύφθηκε στις 4 Φεβρουαρίου 2022, όταν η εταιρεία κυβερνοασφάλειας Volexity εντόπισε παραβίαση διακομιστή σε τοποθεσία πελατών στην Ουάσιγκτον, DC που εκτελούσε εργασίες σχετικές με την Ουκρανία.
Το APT28 είναι μέρος της στρατιωτικής μονάδας 26165 της Ρωσίας στην Κεντρική Διεύθυνση Πληροφοριών του Γενικού Επιτελείου (GRU) και διεξάγει επιχειρήσεις στον κυβερνοχώρο τουλάχιστον από το 2004.
Οι χάκερ, τους οποίους το Volexity παρακολουθεί ως GruesomeLarch, απέκτησαν πρώτα τα διαπιστευτήρια στο εταιρικό δίκτυο WiFi του στόχου μέσω επιθέσεων ψεκασμού κωδικών πρόσβασης που στοχεύουν τη δημόσια υπηρεσία ενός θύματος.
Ωστόσο, η παρουσία προστασίας ταυτότητας πολλαπλών παραγόντων (MFA) εμπόδισε τη χρήση των διαπιστευτηρίων στον δημόσιο ιστό. Αν και η σύνδεση μέσω του εταιρικού WiFi δεν απαιτούσε MFA, το να είσαι “χιλιάδες μίλια μακριά και ένας ωκεανός μακριά από το θύμα” ήταν ένα πρόβλημα.
Έτσι, οι χάκερ έγιναν δημιουργικοί και άρχισαν να εξετάζουν οργανισμούς σε κτίρια κοντά που θα μπορούσαν να χρησιμεύσουν ως άξονας στο ασύρματο δίκτυο-στόχο.
Η ιδέα ήταν να θέσουμε σε κίνδυνο έναν άλλο οργανισμό και να ψάξουμε στο δίκτυό του για συσκευές διπλού σπιτιού, οι οποίες διαθέτουν και ενσύρματη και ασύρματη σύνδεση. Μια τέτοια συσκευή (π.χ. φορητός υπολογιστής, δρομολογητής) θα επέτρεπε στους χάκερ να χρησιμοποιήσουν τον ασύρματο προσαρμογέα της και να συνδεθούν στο εταιρικό WiFi του στόχου.
Volexity θεμελιώ ότι το APT28 παραβίασε πολλούς οργανισμούς ως μέρος αυτής της επίθεσης, συνδέοντας τη σύνδεσή τους χρησιμοποιώντας έγκυρα διαπιστευτήρια πρόσβασης. Τελικά, βρήκαν μια συσκευή εντός της κατάλληλης εμβέλειας που μπορούσε να συνδεθεί με τρία ασύρματα σημεία πρόσβασης κοντά στα παράθυρα της αίθουσας συνεδριάσεων του θύματος.
Χρησιμοποιώντας μια σύνδεση απομακρυσμένης επιφάνειας εργασίας (RDP) από έναν μη προνομιούχο λογαριασμό, ο παράγοντας απειλής μπόρεσε να μετακινηθεί πλευρικά στο δίκτυο-στόχο αναζητώντας συστήματα ενδιαφέροντος και να εξάγει δεδομένα.
Οι χάκερ έτρεξαν servtask.bat για να απορρίψετε τις κυψέλες μητρώου των Windows (SAM, Security και System), συμπιέζοντάς τις σε ένα αρχείο ZIP για εξαγωγή.
Οι εισβολείς βασίζονταν γενικά σε εγγενή εργαλεία των Windows για να διατηρήσουν το αποτύπωμά τους στο ελάχιστο κατά τη συλλογή των δεδομένων.
“Το Volexity προσδιόρισε περαιτέρω ότι ο GruesomeLarch στόχευε ενεργά τον Οργανισμό Α προκειμένου να συλλέξει δεδομένα από άτομα με τεχνογνωσία και έργα που αφορούν ενεργά την Ουκρανία” – Volexity
Πολλαπλές πολυπλοκότητες στην έρευνα εμπόδισαν το Volexity να αποδώσει αυτήν την επίθεση σε οποιονδήποτε γνωστό παράγοντα απειλής. Ωστόσο, μια έκθεση της Microsoft τον Απρίλιο του τρέχοντος έτους κατέστησε σαφές, καθώς περιλάμβανε δείκτες συμβιβασμού (IoCs) που αλληλεπικαλύπτονταν με τις παρατηρήσεις του Volexity και έδειχναν τη ρωσική ομάδα απειλών.
Με βάση τις λεπτομέρειες στην αναφορά της Microsoft, είναι πολύ πιθανό το APT28 να μπόρεσε να κλιμακώσει τα προνόμια πριν εκτελέσει κρίσιμα ωφέλιμα φορτία εκμεταλλευόμενος ως μηδενική ημέρα την ευπάθεια CVE-2022-38028 στην υπηρεσία Windows Print Spooler εντός του δικτύου του θύματος.
Η “επίθεση κοντινού γείτονα” του APT28 δείχνει ότι μια επιχείρηση κοντινής πρόσβασης, η οποία συνήθως απαιτεί εγγύτητα στον στόχο (π.χ. χώρος στάθμευσης), μπορεί επίσης να διεξαχθεί από μακριά και εξαλείφει τον κίνδυνο φυσικής ταυτοποίησης ή σύλληψης.
Ενώ οι συσκευές που έχουν πρόσβαση στο Διαδίκτυο επωφελήθηκαν από τη βελτιωμένη ασφάλεια τα τελευταία χρόνια, με την προσθήκη MFA και άλλων τύπων προστασίας, τα εταιρικά δίκτυα WiFi πρέπει να αντιμετωπίζονται με την ίδια προσοχή όπως κάθε άλλη υπηρεσία απομακρυσμένης πρόσβασης.
VIA: bleepingcomputer.com
