Аналитики Volexity обнаружили, что хак-группа APT28 (она же Fancy Bear, Forest Blizzard и Sofacy) проникла в неназванную американскую компанию через корпоративную сеть Wi-Fi, находясь за тысячи километров от нее. Для этого хакеры использовали тактику, получившую название «атака на ближайшего соседа» (nearest neighbor attack): взломали случайную организацию в соседнем здании, находящуюся в зоне действия целевого Wi-Fi.
Исследователи сообщают, что инцидент произошел еще 4 февраля 2022 года, когда обнаружилась компрометация сервера в Вашингтоне.
Хакеры, которых Volexity отслеживает под именем GruesomeLarch, получили учетные данные для доступа к корпоративной сети Wi-Fi своей цели с помощью атак типа password spraying, направленных на некий публично доступный сервис.
Однако наличие многофакторной аутентификации (МФА) не позволило злоумышленникам использовать эти учетные данные. А подключиться к корпоративной сети Wi-Fi, которая не требовала МФА, было сложно, так как злоумышленники находились за тысячи километров от этой сети.
По этой причине хакеры стали искать организации в близлежащих зданиях, которые могли бы послужить плацдармом для доступа к нужной беспроводной сети. Идея заключалась в том, чтобы скомпрометировать случайную, расположенную поблизости организацию и найти в ее сети устройства, которые имеют как проводное, так и беспроводное подключение. Такое устройство (например, ноутбук или роутер) позволило бы хакерам использовать его беспроводной адаптер и через него подключиться к Wi-Fi целевой организации.
По словам экспертов, в рамках этой атаки APT28 скомпрометировала несколько организаций, последовательно подключаясь к ним с использованием действительных учетных данных. В итоге атакующие все же нашли устройство в нужном радиусе, которое могло подключиться к трем точкам доступа, расположенным возле окон конференц-зала компании-жертвы.
Используя RDP с непривилегированной учетной записи, хакеры сумели осуществить боковое перемещение, обнаружить нужные системы и похитить данные. В основном злоумышленники использовали штатные средства Windows, чтобы не оставлять следов при сборе данных. Так, атакующие запускали файл servtask.bat для дампа ветвей реестра Windows (SAM, Security и System), сжимая их в ZIP-архив для последующей эксфильтрации.
Ранее многочисленные сложности, возникшие в процессе расследования, не позволяли экспертам с уверенностью приписать эту атаку каким-либо известным хак-группам. Однако ясность внес отчет компании Microsoft, опубликованный в апреле 2024 года: он содержал индикаторы компрометации, которые совпадали с наблюдениями Volexity и указывали на APT28.
В частности, в отчете Microsoft сообщалось, что APT28, скорее всего, удалось повысить привилегии перед запуском полезной нагрузки, используя уязвимость CVE-2022-38028 в службе Windows Print Spooler в сети жертвы.
Теперь эксперты подчеркивают, что тактика «атаки на ближайшего соседа», использованная APT28, наглядно демонстрирует, что атака, для которой обычно требуется находиться поблизости от цели, может быть проведена и издалека. Причем в таком случае хакеры не рискуют быть обнаруженными физически или пойманным.
