Российская хакерская группа APT28 (также известная как Fancy Bear, Forest Blizzard или Sofacy) совершила необычную кибератаку, взломав корпоративную сеть американской компании через Wi-Fi, находясь на тысячах километров от цели. Эта сложная операция получила название «атака соседнего доступа» (Nearest Neighbor Attack).
Как была осуществлена атака
Хакеры начали свою атаку с компрометации организации, расположенной в соседнем здании, используя её сеть как «трамплин» для подключения к Wi-Fi-роутерам жертвы. Этот метод позволил атакующим обойти необходимость физического присутствия поблизости от цели, что традиционно требуется для взлома Wi-Fi.
Компания по кибербезопасности Volexity обнаружила атаку 4 февраля 2022 года, когда заметила компрометацию сервера в Вашингтоне, округ Колумбия. Эта компания занималась проектами, связанными с Украиной, что сделало её интересной мишенью для хакеров.
Прорыв через соседнюю сеть
APT28, отслеживаемая Volexity под названием GruesomeLarch, использовала метод атак на пароли (password spraying), чтобы получить доступ к Wi-Fi-сети компании. Однако, несмотря на наличие учётных данных, многофакторная аутентификация (MFA) помешала хакерам подключиться к системе через интернет.
Чтобы обойти это ограничение, хакеры обратили своё внимание на соседние организации, находившиеся в радиусе действия Wi-Fi-устройства жертвы. Они искали устройства с «двойным подключением» — такие как ноутбуки или маршрутизаторы, подключённые как по проводной, так и по беспроводной сети.
В результате атаки хакеры нашли устройство, расположенное достаточно близко к конференц-залу жертвы, чтобы подключиться к её Wi-Fi-сети через три беспроводных точки доступа.
Хотя считалось, что гостевая сеть Wi-Fi полностью изолирована от корпоративной проводной сети, где хранились ценные данные, оказалось, что одна система была доступна как из Wi-Fi сети, так и из корпоративной проводной сети. Используя учетные данные аккаунта, пароль которого не был изменен, и пользуясь тем, что Wi-Fi сеть не была полностью изолирована, злоумышленник смог перенаправить доступ обратно в корпоративную проводную сеть и в конечном итоге восстановить доступ к целевым ценным данным.
Для выполнения такого перехода злоумышленник использовал утилиту Windows netsh, чтобы настроить серию перенаправлений портов, которые позволили ему достичь целевых систем. Примеры используемых команд приведены ниже:
cmd.exe /C netsh advfirewall firewall add rule name="Remote Event Log Management SMB" dir=in action=allow protocol=tcp localport=12345 > C:\Windows\Temp\MSI28122Ac.LOG 2>&1
cmd.exe /C netsh interface portproxy add v4tov4 listenaddress=172.33.xx.xx listenport=12345 connectaddress=172.20.xx.xx connectport=445 > C:\Windows\Temp\MSI2cBfA24.LOG 2>&1
Взлом и утечка данных
После получения доступа к Wi-Fi жертвы, хакеры использовали удалённое подключение (RDP) и аккаунт с минимальными привилегиями для перемещения по внутренней сети. Их целью было обнаружение систем с конфиденциальной информацией и её эксфильтрация.
С помощью скрипта servtask.bat они выгружали данные реестра Windows (SAM, Security, и System), упаковывая их в ZIP-архивы для дальнейшей передачи. Чтобы минимизировать риск обнаружения, хакеры использовали встроенные инструменты Windows, оставляя минимальные следы.
Кто стоит за атакой
В отчёте Volexity указано, что целью атаки были эксперты и проекты, связанные с Украиной. Однако прямую связь с известными хакерскими группами установить сразу не удалось.
В отчёте Volexity указано, что целью атаки были эксперты и проекты, связанные с Украиной. Однако прямую связь с известными хакерскими группами установить сразу не удалось.
В апреле 2022 года Microsoft опубликовал отчёт, в котором описывались индикаторы компрометации (IoC), совпадающие с наблюдениями Volexity. В отчёте Microsoft уточнялось, что за атакой стояла группа APT28, связанная с российским Главным управлением разведки (ГРУ).
Хакеры, вероятно, использовали уязвимость CVE-2022-38028 в службе Windows Print Spooler для повышения привилегий в сети жертвы.
Атака APT28 показала, что операции, требующие близкого доступа к целям, могут быть проведены дистанционно. Это уменьшает риски физического обнаружения, но создаёт новую угрозу для корпоративных Wi-Fi-сетей.
Эксперты рекомендуют компаниям применять те же меры безопасности к Wi-Fi, что и к интернет-сервисам. Внедрение MFA, мониторинг сетевого трафика и регулярное обновление программного обеспечения остаются ключевыми элементами киберзащиты.
Такой подход поможет организациям защитить свои сети от сложных атак, подобных этой.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Леся – ведущий дата-аналитик в проекте VPRussia, обладает более чем 5-летним опытом в области анализа данных и разработки аналитических решений. С образованием в области математики и компьютерных наук, Леся специализируется на использовании Python, R и SQL для обработки и анализа больших данных. Её ключевые задачи включают сбор и анализ данных о пользователях VPN-сервисов, разработку моделей для оценки их эффективности, а также создание отчетов и визуализаций для команды и руководства.