Przebieg ataku krok po kroku
Atak rozpoczął się od uzyskania danych uwierzytelniających do sieci WiFi docelowej firmy za pomocą ataków phishingowych, jednak ich bezpośrednie wykorzystanie było niemożliwe ze względu na implementację uwierzytelniania wieloskładnikowego (MFA). W tej sytuacji hakerzy skupili się na innych organizacjach w pobliżu. Przeszukiwali sieci tych firm pod kątem urządzeń typu dual-home (np. laptopów lub routerów), które mogłyby posłużyć jako pośrednicy.
W efekcie APT28 znalazło urządzenie w odpowiednim zasięgu, które umożliwiło im połączenie się z trzema punktami dostępu w sieci ofiary. Za pomocą narzędzi takich jak zdalny pulpit (RDP) oraz wbudowane narzędzia systemu Windows, hakerzy mogli przemieszczać się po sieci docelowej, identyfikując interesujące ich systemy i wykradając dane.
Podczas ataku uruchomili skrypt servtask.bat, który pozwolił na kompresję kluczowych gałęzi rejestru Windows (SAM, Security, System) do pliku ZIP i ich późniejszą eksfiltrację. Dzięki temu minimalizowali ryzyko wykrycia przez ograniczenie wykorzystania zasobów systemowych.
Zaawansowane techniki i zagrożenia
Volexity przypisało atak grupie APT28, części rosyjskiego GRU (Jednostka Wojskowa 26165), która prowadzi operacje cybernetyczne od 2004 roku. W raporcie firmy Microsoft wskazano dodatkowo, że APT28 mogło wykorzystać lukę typu zero-day (CVE-2022-38028) w usłudze bufora wydruku systemu Windows, co umożliwiło im eskalację uprawnień i wykonanie krytycznych działań w sieci.
Technika "ataku bliskiego sąsiada" pozwala hakerom na zdalne przeprowadzenie operacji, które dotychczas wymagały fizycznej bliskości celu, np. przebywania na parkingu przy biurze ofiary. Tym samym eliminuje ryzyko identyfikacji lub zatrzymania w trakcie działań.
Incydent ten jest kolejnym dowodem na to, że nawet zaawansowane systemy zabezpieczeń, takie jak MFA, mogą okazać się niewystarczające. Sieci WiFi w korporacjach muszą być traktowane z taką samą uwagą jak inne usługi zdalnego dostępu. Wdrożenie dodatkowych warstw ochrony, takich jak segmentacja sieci, monitorowanie ruchu oraz regularne testy penetracyjne, może znacząco zmniejszyć ryzyko takich ataków w przyszłości.
APT28 po raz kolejny udowodniło, że kreatywność i zaawansowane techniki umożliwiają przełamywanie nawet najbardziej rygorystycznych zabezpieczeń. Dlatego organizacje muszą nieustannie podnosić standardy w dziedzinie cyberbezpieczeństwa, aby być o krok przed potencjalnymi zagrożeniami.