A Volexity olyan felfedezést tett, amely az eddigi egyik legizgalmasabb és legösszetettebb incidensvizsgálatához vezetett. Az orosz APT28-hoz kötötték a támadást, aki egy új támadási technikát vetett be, amely a célpont közelében lévő Wi-Fi hálózatokat használja ki.
A történet 2022. február 4-én kezdődik, amikor a Volexity gyanús tevékenységet észlelt ügyfele, “A” szervezet hálózatán. Az észlelésre azután került sor, hogy az egyéni szignatúra riasztást váltott ki, amely a C:\ProgramData könyvtár gyökeréből írt és végrehajtott fájlokat kereste. Ez azonnal riadóztatta a Volexity fenyegetésérzékelő és -elhárító csapatát, és azonnal megkezdték a rendszer EDR eseménytörténetének mélyreható vizsgálatát.
A másfél hónapig tartó nyomozás során kiderült, hogy az APT28 a vállalati Wi-Fi hálózathoz csatlakozva tudott betörni az “A” szervezet hálózatába. Ezt úgy érte el, hogy láncszerűen, több, az “A” szervezethez közeli más szervezeten keresztül jutott be. Mindezt több ezer kilométerre és egy óceánnyira az áldozattól.
A Volexity nem ismer olyan terminológiát, amely leírná ezt a támadási stílust, ezért a Nearest Neighbor Attack (Legközelebbi szomszéd támadás) elnevezést adta neki.
Az első amire szükség volt a támadáshoz, érvényes hitelesítő adatok megszerzése volt. Ezt jelszószóró támadásokkal valósították meg az „A” szervezet hálózatának egy nyilvános szolgáltatása ellen. Bár a hitelesítő adatokat a támadók ezzel a módszerrel képesek voltak kitalálni, a többfaktoros hitelesítés (MFA) miatt nem tudták felhasználni őket közvetlenül az “A” szervezet nyilvános szolgáltatásai ellen.
Ugyanakkor a vállalat Wi-Fi hálózatán nem volt MFA, és csak a felhasználó érvényes tartományi felhasználónevét és jelszavát kérte a hitelesítéshez. Azonban a fenyegetési szereplő a világ másik felén tartózkodott, és nem tudott ténylegesen csatlakozni az “A” szervezet vállalati Wi-Fi hálózatához. Ennek az akadálynak a leküzdése érdekében a fenyegető szereplő más szervezetek kompromittálásán dolgozott, amelyek az “A” szervezet irodájának közvetlen közelében lévő épületekben voltak. A támadók stratégiája az volt, hogy betörnek egy másik szervezetbe, majd a szervezeten belül olyan rendszereket kerestek, amelyekhez hozzáférhetnek, és amelyek rendelkeznek vezetékes és vezeték nélküli hálózati kapcsolattal is rendelkeznek.
Az „A” szervezet vezeték nélküli vezérlőjéről rendelkezésre álló adatok elemzése megmutatta, hogy a támadó mely konkrét vezeték nélküli hozzáférési pontokhoz csatlakozott, és ezeket egy térképen, az épület alaprajzán és az egyes emeleteken is megjelenítette. A támadó ugyanahhoz a három vezeték nélküli hozzáférési ponthoz csatlakozott, amelyek az épület túlsó végén lévő konferenciateremben, az utca menti ablakok közelében voltak.
A különböző hitelesítő adatok visszaállítása ellenére, beleértve a jelszószóró támadásokból azonosított három fiókot is, a támadó továbbra is rendelkezett működő tartományi hitelesítő adatokkal. Az elemzés feltárta, hogy a támadó rendszere NetBIOS Name Service (NBNS) lekérdezéseket küldött, amelyek felfedték a számítógép nevét és az Active Directory tartományt, amelyhez csatlakozott. Ez az aktív címtár tartomány pontosan megmutatta, hogy a támadó honnan csatlakozott, amelyről kiderült, hogy egy szervezet („B szervezet”), amely az utca túloldalán található.
A Volexity felvette a kapcsolatot a „B” szervezettel, és együtt tudott dolgozni velük az ügy további kivizsgálásán. A rendszer elemzése kimutatta, hogy azt azután törték fel, hogy egy támadó kiváltságos hitelesítő adatokkal RDP-n keresztül csatlakozott a B szervezet hálózatán belüli másik rendszerről. Ez a rendszer vezetékes Etherneten keresztül csatlakozott az internethez, de egyidejűleg egy Wi-Fi hálózati adapterrel is rendelkezett, amelyet használni lehetett. A támadó megtalálta ezt a rendszert, és egy egyéni PowerShell szkript segítségével megvizsgálta a vezeték nélküli hálózat hatósugarán belül elérhető hálózatokat, majd az általa kompromittált hitelesítő adatokkal csatlakozott az „A” szervezet vállalati Wi-Fi hálózatához.
A „B” szervezet rendszereinek további elemzése során kiderült, hogy a támadó egy másik hálózatról csatlakozott a „B” szervezet Wi-Fi hálózatához, amely egy másik közeli szervezethez („C szervezet”) tartozott.
A Volexity a MAC címek és az SSID információk elemzése alapján meg tudta határozni, hogy ki a „C” szervezet, és felvette velük a kapcsolatot, a „C” szervezet azonban úgy döntött, hogy nem biztosít hozzáférést a vizsgálat továbbviteléhez szükséges kulcsfontosságú adatokhoz.
A csapat kockázatcsökkentési és helyreállítási utasításokat javasolt az „A” szervezetnek. Ekkor a támadó hozzáférését elvágták az „A” szervezet vállalati Wi-Fi hálózatától.
Több mint egy hónappal az utolsó megfigyelt fenyegető tevékenység után – és a különböző helyreállítási lépéseket követően – a Volexity újabb riasztást kapott, amely gyanús tevékenységet jelzett az ügyfele, az „A” szervezet hálózatán. A tevékenység kivizsgálása során felfedezték, hogy ugyanannak a támadónak sikerült visszatérnie a hálózatra. A Volexity gyorsan reagált, és az incidenskivizsgálás során sikerült több rendszeren keresztül visszavezetni a támadást a kiinduló ponthoz: az „A” szervezet vendég Wi-Fi hálózatának egyik rendszeréhez.
Míg a vendég Wi-Fi hálózatról azt hitték, hogy teljesen el van szigetelve a vállalati vezetékes hálózattól, volt egy rendszer, amely mind a Wi-Fi hálózatról, mind a vállalati vezetékes hálózatról elérhető volt. Egy vissza nem állított fiók hitelesítő adatainak birtokában, valamint azzal a ténnyel, hogy a Wi-Fi hálózat nem volt teljesen elszigetelve, a támadó vissza tudott térni a vállalati vezetékes hálózatra, és végül vissza tudta szerezni a hozzáférést.
A Volexity megállapította, hogy a támadó ezúttal a „C” szervezetből csatlakozott. Ismét felvették a kapcsolatot a „C” szervezettel, és az „A” szervezettel is együttműködtek, hogy lépéseket tegyenek az újabb behatolás megszüntetése érdekében.
A vendég Wi-Fi hálózattal kapcsolatos utolsó tevékenység óta nem volt olyan megfigyelt tevékenység, amelyet a Volexity a Nearest Neighbor Attack kihasználásával rendelkező támadóhoz tudott volna kötni.
