Új támadási technika: Nearest Neighbor Attack
2022 február elején közvetlenül az ukrajnai orosz invázió előtt a Volexity olyan felfedezést tett, amely a Volexity eddigi egyik legizgalmasabb és legösszetettebb incidensvizsgálatához vezetett. A nyomozás akkor kezdődött, amikor egy ügyfél („A” szervezet) telephelyén telepített Volexity egyedi észlelési szignatúra riasztása jelezte, hogy egy kiberszereplő kompromittált egy szervert az ügyfél hálózatán. Bár a Volexity gyorsan kivizsgálta a kibertevékenységet, több kérdés merült fel, mint válasz, mivel egy nagyon motivált és képzett APT szereplő volt, aki egy újszerű támadási vektort használt, amellyel a Volexity korábban még nem találkozott. A nyomozás végén a Volexity a kibertevékenységet egy orosz kiberszereplőhöz kötötte, akit GruesomeLarch néven (nyilvánosan ismert többek között APT28, Forest Blizzard, Sofacy, Fancy Bear néven) követett nyomon. A Volexity továbbá megállapította, hogy az APT28 aktívan célba vette az “A” szervezetet, hogy adatokat gyűjtsön az Ukrajnával kapcsolatos szakértelemmel rendelkező személyekről és az Ukrajnát aktívan érintő projektekről.
Az APT28 a vállalati Wi-Fi hálózathoz való csatlakozással képes volt betörni az “A” szervezet hálózatába. A kiberszereplő ezt úgy érte el, hogy “A” szervezethez közeli több szervezetet is kompromittált. A Volexity nem ismer semmilyen terminológiát, amely leírná ezt a támadási stílust, ezért a támadást a Nearest Neighbor Attack-nak nevezték el. A kiberszereplő mindezt több ezer km-es távolságból tette meg. Az első és legnyilvánvalóbb dolog, amire szükség volt, érvényes hitelesítő adatok voltak, amit az „A” szervezet hálózatának egy nyilvános szolgáltatása elleni password spraying támadással szereztek meg. Viszont a többfaktoros hitelesítés (MFA) miatt nem fértek hozzá az áldozat nyilvános szolgáltatásai ellen. A vállalati Wi-Fi hálózat azonban nem követelte meg az MFA-t, és csak a felhasználó érvényes tartományi felhasználónevét és jelszavát kérte a hitelesítéshez. A fizikai távolság leküzdése érdekében a kiberszereplő más szervezetek kompromittálásán dolgozott, amelyek az áldozat irodájának közvetlen közelében lévő épületekben voltak. Stratégiájuk az volt, hogy betörnek egy másik szervezetbe, majd a szervezeten belül oldalirányban mozognak, hogy olyan rendszereket találjanak, amelyek rendelkeznek vezetékes és vezeték nélküli hálózati kapcsolattal is. Miután talált a kiberszereplő egy olyan rendszert, amely vezetékes Ethernet-kapcsolaton keresztül csatlakozott a hálózathoz, a fenyegető hozzáférhetett a rendszerhez, és használhatta annak Wi-Fi adapterét. Ekkor csatlakozna az „A” szervezet vállalati Wi-Fi-jének SSID-jéhez, és hitelesítené azt, így hozzáférést kapna az „A” szervezet hálózatához. Ezután a kiberszereplő csatlakozott az „A” szervezet vállalati Wi-Fi-jéhez és így hozzáférést kapott az „A” szervezet hálózatához.
A Volexity megvilágítja a Volexity által az incidens vizsgálata során megfigyelt taktikákat, technikákat és eljárásokat (TTP-ket), valamint részletesen bemutatja, hogyan működött a Nearest Neighbor Attack, és hogyan lehet ellene védekezni.
