Згідно з останніми повідомленнями, російські військові шпигуни застосували інноваційну техніку, використовуючи сусідні системи Wi-Fi для проникнення в захищені мережі в рамках безпрецедентної хакерської операції 2022 року.
Хакерська група ГРУ Росії зламує через Wi-Fi − подробиці
Сумнозвісна хакерська група Кремля APT28, також відома як Fancy Bear і Unit 26165, – це розвідувальна операція ГРУ, яка вдосконалила свої методи, оминаючи традиційні операції з обмеженим доступом і віддалено зламуючи чутливі системи з будівлі через дорогу.
ПРИЄДНУЙТЕСЯ ДО НАС
Підписуйтесь на наш Viber-канал.
Готуються до миру – російським політикам наказали формувати "образ перемоги"
Як повідомляє Wired, це відкриття зробили дослідники кібербезпеки з компанії Volexity, які відстежили атаку ще на початку 2022 року, розслідуючи злом, пов'язаний з одним із їхніх клієнтів у Вашингтоні. Цей новий метод зламу Wi-Fi, який отримав назву «атака найближчого сусіда», викликав тривогу серед експертів з кібербезпеки, виявивши набагато витонченішу і більш віддалену форму шпигунства, ніж попередні спроби.
«Це перший випадок, над яким ми працювали, коли зловмисник знаходиться дуже далеко і, по суті, зламує інші організації в США у фізичній близькості до наміченої цілі, а потім через Wi-Fi потрапляє в цільову мережу через дорогу», – розповів Wired засновник Volexity Стівен Адейр. Цей метод, по суті, дозволив хакерам проникнути в мережу своєї цілі без необхідності фізично наближатися до будівлі або використовувати ризиковане радіообладнання.
Атака знаменує собою значний стрибок у тактиці шпигунства, оскільки APT28 обходить ризики, пов'язані з традиційними методами близького доступу.
Замість використання радіообладнання для зламу Wi-Fi, перебуваючи зовні будівлі жертви, як це робила група під час попередніх операцій, хакери знайшли набагато більш прихований підхід. Вони проникли в сусідню мережу, скомпрометували ноутбук і використали його як ретранслятор, щоб зламати Wi-Fi жертви. Цей метод дозволив їм зламати чутливі системи, не залишаючи територію Росії, що різко відрізняється від попередніх, більш ризикованих операцій.
Про злам стало відомо на початку 2022 року, коли компанія Volexity почала розслідувати неодноразові вторгнення в мережі одного з клієнтів. Після кількох місяців роботи за слідами, залишеними хакерами, аналітики Volexity виявили, що скомпрометований комп'ютер отримував доступ до мережі Wi-Fi з офісної будівлі через дорогу. «На той момент стало на 100% зрозуміло, звідки він виходив, – каже Адейр. – Не з машини на вулиці, а з сусідньої будівлі».
У той момент було на 100% зрозуміло, звідки він виходив... Не з машини на вулиці, а з сусідньої будівлі.
У співпраці з сусідньою організацією команда Volexity відстежила атаку до скомпрометованого ноутбука. Хакери перетворили Wi-Fi антену ноутбука на ретранслятор, використовуючи його для переходу від однієї скомпрометованої мережі до іншої, і зрештою зламали Wi-Fi мережі цілі. Цей метод показав, що хакери «з'єднали в ланцюжок» кілька мереж разом. Цей прийом ніколи раніше не використовувався для такого типу шпигунства.
За словами Адейра, хакери скомпрометували Wi-Fi другої організації, використовуючи облікові дані, які вони отримали з інтернет-джерел. Однак двофакторна автентифікація завадила їм використати облікові дані в інших мережах. Схоже, що зловмисники також використовували VPN-пристрій у другій мережі, що робить злам ще більш складним. «Хто знає, скільки пристроїв чи мереж вони скомпрометували, і в яких вони це робили», – зазначив Адейр.
Навіть після того, як хакерів вигнали з мережі жертви, вони спробували відновити доступ до неї навесні 2022 року. Volexity виявила, що хакери намагалися використати гостьову мережу Wi-Fi, але їхня наполегливість була зведена нанівець, коли спроба вторгнення була швидко виявлена і заблокована.
Розслідування цього зламу також підтвердило, що за атакою стоять російські хакери. Аналіз залишків, залишених на комп'ютері жертви, виявив збіг із методами, які раніше використовувала APT28. Група використала вразливість у системі спулера друку Windows для отримання адміністративного доступу – метод атаки, який, як відомо, пов'язують із російським ГРУ. «Збіг був один в один», – сказав Адейр, маючи на увазі безпосередній зв'язок із кіберопераціями ГРУ.
Джон Хультквіст – засновник Cyberwarcon і керівник відділу розвідки загроз у компанії Mandiant – назвав «атаку найближчого сусіда» природним розвитком попередньої тактики близького доступу APT28. У минулому ГРУ покладалося на фізичне проникнення в цільові мережі, відправляючи агентів для зламу систем Wi-Fi із сусідніх локацій. Хультквіст зазначив, що перехід до віддаленої компрометації пристроїв є логічним кроком у стратегії хакерської групи. «Це, по суті, операція з близьким доступом. У минулому вони робили це без близького доступу», – сказав він.
APT28: нова техніка хакерських атак через Wi-Fi
Перехід ГРУ до віддалених зламів Wi-Fi означає зміну тактики, особливо після публічного викриття їхньої невдалої операції у 2018 році. Того року чотирьох членів групи APT28 спіймали на спробі зламати Організацію із заборони хімічної зброї в Гаазі за допомогою прихованої антени в автомобілі. Інцидент, який призвів до арештів і конфіскації пристроїв хакерів, підкреслив ризики, пов'язані з фізичним наближенням до цілі. Як зазначив Хультквіст: «Якщо ціль досить важлива, вони готові відправити людей особисто. Але не потрібно цього робити, якщо можна запропонувати альтернативу, подібну до тієї, яку ми бачимо тут».
Цей новий метод може змінити правила гри в операціях кібершпигунства, оскільки зловмисникам буде набагато легше і безпечніше зламувати важливі об'єкти, навіть не виїжджаючи за межі своєї країни. Як попереджають експерти з кібербезпеки, організаціям, які стикаються з такими складними загрозами, необхідно посилити захист своїх Wi-Fi. У світлі цього мінливого ландшафту загроз порада Адейра однозначна: «Безпека Wi-Fi повинна бути значно посилена».
Атака на мережу Вашингтона є лише останнім прикладом того, як Росія збільшує свої кібер-можливості. ГРУ продовжує розвивати й ускладнювати свої методи, і цей витік слугує суворим нагадуванням про те, що межа між фізичним і цифровим шпигунством стає все більш розмитою, а ставки, особливо для цінних об'єктів, стали як ніколи високими.
