Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Jak APT28 wykorzystało WiFi do ataku?

Jak APT28 wykorzystało WiFi do ataku?

Rosyjska grupa hakerska APT28, znana również jako Fancy Bear lub Sofacy, ponownie zwróciła uwagę specjalistów ds. cyberbezpieczeństwa swoim nowatorskim podejściem. W lutym 2022 roku firma Volexity odkryła, że hakerzy wykorzystali nietypową technikę nazwaną "atakiem bliskiego sąsiada". Działając tysiące mil od celu, włamali się do amerykańskiej firmy przez jej sieć WiFi, zaczynając jednak od kompromitacji organizacji z pobliskiego budynku.

Dobroczynnie NTHW

Przebieg ataku krok po kroku

Atak rozpoczął się od uzyskania danych uwierzytelniających do sieci WiFi docelowej firmy za pomocą ataków phishingowych, jednak ich bezpośrednie wykorzystanie było niemożliwe ze względu na implementację uwierzytelniania wieloskładnikowego (MFA). W tej sytuacji hakerzy skupili się na innych organizacjach w pobliżu. Przeszukiwali sieci tych firm pod kątem urządzeń typu dual-home (np. laptopów lub routerów), które mogłyby posłużyć jako pośrednicy.

W efekcie APT28 znalazło urządzenie w odpowiednim zasięgu, które umożliwiło im połączenie się z trzema punktami dostępu w sieci ofiary. Za pomocą narzędzi takich jak zdalny pulpit (RDP) oraz wbudowane narzędzia systemu Windows, hakerzy mogli przemieszczać się po sieci docelowej, identyfikując interesujące ich systemy i wykradając dane.

Podczas ataku uruchomili skrypt servtask.bat, który pozwolił na kompresję kluczowych gałęzi rejestru Windows (SAM, Security, System) do pliku ZIP i ich późniejszą eksfiltrację. Dzięki temu minimalizowali ryzyko wykrycia przez ograniczenie wykorzystania zasobów systemowych.

Zaawansowane techniki i zagrożenia

Volexity przypisało atak grupie APT28, części rosyjskiego GRU (Jednostka Wojskowa 26165), która prowadzi operacje cybernetyczne od 2004 roku. W raporcie firmy Microsoft wskazano dodatkowo, że APT28 mogło wykorzystać lukę typu zero-day (CVE-2022-38028) w usłudze bufora wydruku systemu Windows, co umożliwiło im eskalację uprawnień i wykonanie krytycznych działań w sieci.

Technika "ataku bliskiego sąsiada" pozwala hakerom na zdalne przeprowadzenie operacji, które dotychczas wymagały fizycznej bliskości celu, np. przebywania na parkingu przy biurze ofiary. Tym samym eliminuje ryzyko identyfikacji lub zatrzymania w trakcie działań.

Incydent ten jest kolejnym dowodem na to, że nawet zaawansowane systemy zabezpieczeń, takie jak MFA, mogą okazać się niewystarczające. Sieci WiFi w korporacjach muszą być traktowane z taką samą uwagą jak inne usługi zdalnego dostępu. Wdrożenie dodatkowych warstw ochrony, takich jak segmentacja sieci, monitorowanie ruchu oraz regularne testy penetracyjne, może znacząco zmniejszyć ryzyko takich ataków w przyszłości.

APT28 po raz kolejny udowodniło, że kreatywność i zaawansowane techniki umożliwiają przełamywanie nawet najbardziej rygorystycznych zabezpieczeń. Dlatego organizacje muszą nieustannie podnosić standardy w dziedzinie cyberbezpieczeństwa, aby być o krok przed potencjalnymi zagrożeniami.

 

 

Ustawa Kamilka

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa