Ρώσοι χάκερ παραβίασαν αμερικανική εταιρεία μέσω Wi-Fi με την τεχνική «Nearest Neighbor Attack»
Η Ρώσική ομάδα χάκερ με την ονομασία APT28 (Fancy Bear/Forest Blizzard/Sofacy) παραβίασαν μια αμερικανική εταιρεία μέσω του εταιρικού δικτύου WiFi της ενώ ήταν χιλιάδες μίλια μακριά, αξιοποιώντας μια νέα τεχνική που ονομάζεται «Nearest Neighbor Attack».
Η επίθεση ανακαλύφθηκε στις 4 Φεβρουαρίου 2022 από την εταιρεία κυβερνοασφάλειας Volexity, και ξεκίνησε όταν οι χάκερ απέκτησαν φυσική πρόσβαση κοντά στις εγκαταστάσεις ενός προμηθευτή της εταιρείας στις ΗΠΑ. Από εκεί, εκμεταλλεύτηκαν μη ασφαλές Wi-Fi για να εισχωρήσουν στα εσωτερικά δίκτυα του προμηθευτή και στη συνέχεια μετακινήθηκαν στην κύρια εταιρεία-στόχο. Αυτή η τακτική αποδεικνύει ότι οι επιθέσεις δεν περιορίζονται μόνο στον κυβερνοχώρο αλλά μπορεί να περιλαμβάνουν φυσικές παρεμβάσεις.
Οι ειδικοί τονίζουν πως η ευπάθεια προέκυψε κυρίως από ελλείψεις στην ασφάλεια του Wi-Fi και την απουσία σωστής διαμόρφωσης. Εργαζόμενοι και συνεργάτες συχνά υποτιμούν τη σημασία της προστασίας των τοπικών δικτύων, δίνοντας ευκαιρίες σε επιτιθέμενους να εκμεταλλευτούν την κατάσταση.
Η ιδέα ήταν να θέσουμε σε κίνδυνο έναν άλλο οργανισμό και να ψάξουμε στο δίκτυό του για συσκευές dual-homed, οι οποίες διαθέτουν και ενσύρματη και ασύρματη σύνδεση. Μια τέτοια συσκευή (π.χ. φορητός υπολογιστής, δρομολογητής) θα επέτρεπε στους χάκερ να χρησιμοποιήσουν τον ασύρματο προσαρμογέα και να συνδεθούν στο εταιρικό WiFi του στόχου.
Η Volexity διαπίστωσε ότι η APT28 έθεσε σε κίνδυνο πολλαπλούς οργανισμούς ως μέρος αυτής της επίθεσης, χρησιμοποιώντας έγκυρα διαπιστευτήρια πρόσβασης. Τελικά, βρήκαν μια συσκευή εντός της κατάλληλης εμβέλειας που μπορούσε να συνδεθεί με τρία ασύρματα σημεία πρόσβασης κοντά στα παράθυρα της αίθουσας συνεδριάσεων του θύματος. Χρησιμοποιώντας λοιπόν μια σύνδεση απομακρυσμένης επιφάνειας εργασίας (RDP) από έναν μη λογαριασμό, ο παράγοντας απειλής μπόρεσε να μετακινηθεί πλευρικά στο δίκτυο-στόχο αναζητώντας συστήματα ενδιαφέροντος και να εξάγει δεδομένα.
Οι χάκερ έτρεξαν το servtask.bat για να απορρίψουν τις κυψέλες μητρώου των Windows (SAM, Security και System), συμπιέζοντάς τις σε ένα αρχείο ZIP για εξαγωγή ενώ βασίζονταν κυρίως σε εγγενή εργαλεία των Windows για να διατηρήσουν το αποτύπωμά τους στο ελάχιστο κατά τη συλλογή των δεδομένων.
Με βάση τις λεπτομέρειες στην αναφορά της Microsoft, είναι πολύ πιθανό η APT28 να μπόρεσε να κλιμακώσει τις επιθέσεις εκμεταλλευόμενη την ευπάθεια Zero Day CVE-2022-38028 στην υπηρεσία Windows Print Spooler εντός του δικτύου του θύματος.
Η συγκεκριμένη υπόθεση δείχνει τη σπουδαιότητα της προστασίας όχι μόνο των εταιρικών δικτύων, αλλά και των δικτύων των συνεργατών και προμηθευτών. Το φαινόμενο “nearest neighbor” δείχνει πόσο εύκολα οι δράστες μπορούν να περάσουν από έναν στόχο σε άλλον μέσω κοινών σημείων πρόσβασης.
Συνολικά, αυτή η επίθεση αποτελεί υπενθύμιση για την ανάγκη αυστηρότερης ασφάλειας στον κυβερνοχώρο, συνδυάζοντας φυσικά και ψηφιακά μέτρα. Οι οργανισμοί πρέπει να επενδύουν σε εκπαίδευση, αλλά και σε τεχνολογίες όπως κρυπτογραφημένο Wi-Fi, firewalls και συστήματα ανίχνευσης παραβιάσεων.
Για περισσότερες λεπτομέρειες, μπορείτε να δείτε το πλήρες άρθρο στο BleepingComputer