Menu dostępności

Włamanie do Wi-Fi „przez ulicę” – opis przypadku

Pewien nietypowy atak z 2022 roku został zbadany przez firmę zajmującą się cyberbezpieczeństwem – Volexity. Jest to ciekawy przypadek, gdyż dotyczy włamania do sieci organizacji docelowej przez połączenie Wi-Fi po ataku na system podmiotu znajdującego się po drugiej stronie ulicy od docelowej ofiary.

Atak został odkryty tuż przed inwazją Rosji na Ukrainę, a celem hakerów było najwyraźniej uzyskanie „danych od osób posiadających wiedzę specjalistyczną na temat Ukrainy i projektów aktywnie z nią związanych”.

Atak wyróżnia się wykorzystaniem tego, co Volexity opisało jako nową technikę, nazwaną przez firmę „Nearest Neighbor Attack”.

Źródło: Volexity

Zgodnie z dochodzeniem Volexity atakujący zdołał uzyskać dane uwierzytelniające do usługi internetowej używanej przez Organizację A, ale nie można było ich użyć z powodu włączonego uwierzytelniania wieloskładnikowego.

Następnie atakujący wpadł na pomysł włamania się do sieci innej organizacji, znajdującej się w budynku w pobliżu Organizacji A. Po uzyskaniu dostępu do tej innej jednostki, nazwanej przez Volexity Organizacją B, hakerzy znaleźli system podłączony do sieci za pomocą przewodowego połączenia Ethernet.

Urządzenie to miało jednak również adapter Wi-Fi, którego atakujący użył do połączenia się z siecią Wi-Fi Organizacji A, mieszczącej się po drugiej stronie ulicy.

Volexity znalazł również dowody na to, że atakujący włamał się dodatkowo do trzeciej pobliskiej organizacji, Organizacji C, z której łączył się przez Wi-Fi zarówno z Organizacją B, jak i Organizacją A.

Atakujący usunął pliki i foldery, aby zatrzeć ślady, i osiągnął to, używając natywnego narzędzia Microsoftu o nazwie Cipher.exe. Był to pierwszy raz, gdy Volexity zauważyło wykorzystanie tego narzędzia w ataku. Początkowo firma miała pewne trudności z przypisaniem ataku znanemu atakującemu, w dużej mierze z powodu intensywnego stosowania technik „Living off the Land”, które opisywaliśmy wielokrotnie na Kapitanie Hacku.

Jednak raport opublikowany przez Microsoft na temat powiązanej z Rosją grupy o nazwie Forest Blizzard w kwietniu 2024 r. ujawnił znaczące podobieństwa wskazujące na tę właśnie grupę jako autora ataku.

Forest Blizzard znane jest pod wieloma mianami: APT28, Sofacy i Fancy Bear, a Volexity przypisała grupie nazwę GruesomeLarch.

„Śledztwo Volexity ujawnia, jak daleko jest w stanie posunąć się kreatywny, pomysłowy i zmotywowany podmiot zagrażający, aby osiągnąć swoje cele. Nearest Neighbor Attack w rzeczywistości sprowadza się do operacji bliskiego dostępu, ale ryzyko fizycznej identyfikacji lub zatrzymania zostało usunięte. Ten atak ma wszystkie zalety fizycznej bliskości celu, jednocześnie pozwalając operatorowi znajdować się tysiące mil dalej” – wyjaśniło Volexity.

„Organizacje muszą wziąć pod uwagę dodatkowe kwestie dotyczące ryzyka, jakie sieci Wi-Fi mogą stwarzać dla ich bezpieczeństwa operacyjnego” – dodała firma. „W ciągu ostatnich kilku lat włożono wiele wysiłku w redukcję powierzchni ataku, gdzie usługi internetowe były zabezpieczane za pomocą MFA lub całkowicie usuwane. Jednak sieciom Wi-Fi niekoniecznie poświęcono tyle samo uwagi”.

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

W środę 9 października użytkownicy platformy Microsoft Azure na całym świecie doświadczyli poważnych zakłóceń. Wiele usług stało się niedostępnych, a administratorzy nie mogli nawet zalogować się do portalu...
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Niedawno załatana wysoce poważna luka w zabezpieczeniach VMware jest wykorzystywana jako zero-day od października 2024 roku do wykonywania kodu z podwyższonymi uprawnieniami. Taką informacją podzieliło się w...
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Splunk opublikował ważne informacje, dotyczące szeregu nowych podatności w swoich produktach Splunk Enterprise i Splunk Cloud Platform. Luki mogą umożliwić atakującym wykonanie nieautoryzowanego kodu Ja...