Компанія Volexity виявила новий витончений метод кібератак, який використовує сумнозвісне хакерське угруповання APT28 (також відоме як Fancy Bear та Sofacy). Зловмисники розробили техніку віддаленого проникнення в корпоративні Wi-Fi мережі, яка отримала назву “атака на найближчого сусіда” (nearest neighbor attack). Цей метод дозволяє здійснювати складні кібератаки без фізичної присутності поблизу цільової організації.
Інноваційна методика проникнення через сусідні організації
Сутність атаки полягає в послідовному компрометуванні організацій, що знаходяться в безпосередній фізичній близькості від основної цілі. Зловмисники використовують скомпрометовані пристрої в сусідніх будівлях як плацдарм для підключення до Wi-Fi мережі цільової компанії. Такий підхід дозволяє APT28 здійснювати атаки, традиційно можливі лише при фізичному доступі, перебуваючи на значній відстані від цілі.
Технічні деталі успішної атаки
Дослідники Volexity, які відстежують діяльність групи під кодовою назвою GruesomeLarch, зафіксували успішну атаку 4 лютого 2022 року на сервер у Вашингтоні. Початковий доступ було отримано через атаки типу password spraying, але наявність багатофакторної автентифікації (MFA) змусила зловмисників шукати альтернативні шляхи проникнення.
Процес реалізації атаки
APT28 вдалося виявити пристрій у необхідному радіусі дії, здатний підключатися до трьох точок доступу цільової організації. Використовуючи протокол RDP з непривілейованого облікового запису, хакери здійснили латеральне переміщення мережею. Для мінімізації слідів застосовувались вбудовані інструменти Windows, включаючи servtask.bat для вилучення критично важливих гілок реєстру.
Підтвердження причетності та використані вразливості
Остаточне підтвердження причетності APT28 надійшло після публікації звіту Microsoft у квітні 2024 року. Документ містив індикатори компрометації, що збігаються зі спостереженнями Volexity. Було також виявлено використання вразливості CVE-2022-38028 у службі Windows Print Spooler для підвищення привілеїв.
Цей інцидент демонструє еволюцію методів кібератак та підкреслює необхідність комплексного захисту корпоративних мереж. Організаціям рекомендується впровадити багаторівневий підхід до безпеки, включаючи: регулярний аудит бездротової інфраструктури, впровадження строгої багатофакторної автентифікації, моніторинг підозрілої активності в мережі та оцінку ризиків, пов’язаних із сусідніми організаціями. Особливу увагу слід приділити захисту периметра Wi-Fi мережі та контролю доступу до бездротових точок підключення.