Rosjanie mają nową metodę cyberataku

Cyberataki przeprowadzane przez rosyjskich aktorów zagrożeń stały się stałym elementem codzienności ekspertów w zachodnich krajach. W tym roku na naszych łamach wielokrotnie opisywaliśmy przypadki, gdy hakerzy powiązani z Federacją Rosyjską dostawali się do systemów zarówno polskich, jak i zagranicznych.

W październiku informowaliśmy o możliwym dostaniu się Rosjan do panelu Oczyszczalni Ścieków w Kuźnicy, a także niezidentyfikowanej kotłowni, która miała znajdować się w Polsce. Podobna sytuacja miała miejsce w kwietniu, gdy ofiarą padła oczyszczalnia na Mazurach. Niewykluczone, że we wszystkich przypadkach osiągnięcia zostały wyolbrzymione przez sprawców.

Rosyjscy hakerzy znowu w akcji

Nie wszystkie podmioty chwalą się swoimi „osiągnięciami”. Nieznaną wcześniej metodę ataku odkryła firma Volexity. Jeden z jej klientów został zaatakowany przy wykorzystaniu firmowej sieci Wi-Fi przez rosyjską grupę APT28, która jest powiązana z GRU.

Co jednak w tym ataku było takie niezwykłe? Sprawca wraz ze swoim sprzętem nie znajdował się w pobliżu siedziby firmy, tylko przebywał – jak określa to serwis Cybernews – tysiące kilometrów dalej. Próby dostania się do systemu przedsiębiorstwa z poziomu sieci spełzły z kolei na niczym ze względu na zastosowanie uwierzytelniania wieloskładnikowego. APT28 postanowiło więc… spojrzeć na okolice swojego celu na mapie.

Atak na sieć firmy z wykorzystaniem innej

Na pierwszy rzut oka, wykorzystanie mapy przez hakerów może brzmieć nieco komicznie. Chodzi tu jednak o znalezienie podmiotów z okolicy swojego głównego celu, a następnie sforsowanie zabezpieczeń ich systemów. Następnie badano, czy jeden z nich ma funkcję dual-homingu – tj. czy jest podłączony kablem Ethernet, jak również i bezprzewodowo.

Jeżeli taki system udało się znaleźć, za jego pośrednictwem atakujący wyszukiwał dostępne sieci Wi-Fi w zasięgu – jeśli wśród nich była ta „docelowa”, podłączał się do niej; w innym wypadku nawiązywał łączność z tą, która była bliżej siedziby, i powtarzał schemat. Ponieważ w przypadku Wi-Fi nie było potrzebne uwierzytelnianie wieloskładnikowe, z powodzeniem wykorzystywał zdobyty wcześniej login i hasło i mógł działać zgodnie z założonym wcześniej planem.

Zabezpieczenia Wi-Fi słabym punktem? "Pominięto je"

Jak przyznaje sama firma Volexity, po wykryciu ataku początkowe zdobywanie informacji na temat działania hakera zostało przerwane ze względu na wyczyszenie przez sprawcę śladów za pomocą usługi Cipher(dostarczaną przez sam Microsoft). Ustalenie wszystkich szczegółów było możliwe po ponownym przeprowadzeniu ataku przez hakera jakiś czas później.

Metoda cyberataku, nazwana Nearest Neighbor Attack, ukazała ryzyko sieci bezprzewodowych dla bezpieczeństwa operacyjnego podmiotów. Jak zauważa Volexity, wysiłki dotyczące zabezpieczeń skupiły się na usługach dostępnych z poziomu internetu, a nie samych sieciach Wi-Fi.

„Być może nadszedł czas, aby traktować dostęp do firmowych sieci Wi-Fi z taką samą uwagą i ostrożnością, jaką otrzymały inne usługi zdalnego dostępu, takie jak VPN” – podsumowują eksperci.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].