Rus devlet korsanları APT28 (Fancy Bear/Forest Blizzard/Sofacy), “en yakın komşu saldırısı” adı verilen yeni bir teknikten yararlanarak, binlerce kilometre uzaktayken kurumsal Wi-Fi ağı üzerinden bir ABD şirketine saldırı düzenledi.
Tehdit aktörü, Wi-Fi kapsama alanı içindeki yakındaki bir binada bulunan bir kuruluşun güvenliğini ilk kez tehlikeye attıktan sonra hedefe yöneldi.
Saldırı, 4 Şubat 2022’de siber güvenlik şirketi Volexity’nin Washington DC’de Ukrayna ile ilgili çalışmalar yapan bir müşteri sitesinde sunucu güvenliği ihlali tespit etmesiyle keşfedildi.
APT28, Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü’ndeki (GRU) 26165 askeri biriminin bir parçasıdır ve en az 2004’ten beri siber operasyonlar yürütmektedir.
Volexity’nin GruesomeLarch olarak takip ettiği bilgisayar korsanları, ilk olarak kurbanın halka açık hizmetini hedef alan şifre püskürtme saldırıları yoluyla hedefin kurumsal Wi-Fi ağının kimlik bilgilerini elde etti.
Ancak çok faktörlü kimlik doğrulama (MFA) korumasının varlığı, kimlik bilgilerinin genel web üzerinden kullanılmasını engelledi. Kurumsal Wi-Fi üzerinden bağlanmak MFA gerektirmese de “binlerce kilometre uzakta ve kurbandan bir okyanus uzakta” olmak bir sorundu.
Böylece bilgisayar korsanları yaratıcı oldular ve yakınlardaki binalarda bulunan ve hedef kablosuz ağ için bir dönüm noktası görevi görebilecek organizasyonları araştırmaya başladılar.
Buradaki fikir, başka bir organizasyonu tehlikeye atmak ve onun ağında hem kablolu hem de kablosuz bağlantıya sahip çift ev cihazları aramaktı. Böyle bir cihaz (örneğin dizüstü bilgisayar, yönlendirici), bilgisayar korsanlarının kablosuz adaptörünü kullanmasına ve hedefin kurumsal WiFi’sine bağlanmasına olanak tanır.
Volexity, APT28’in bu saldırının bir parçası olarak birden fazla organizasyonu tehlikeye attığını ve geçerli erişim kimlik bilgilerini kullanarak bağlantılarını zincirleme bağladığını tespit etti. Sonunda, kurbanın konferans odasının pencerelerinin yakınındaki üç kablosuz erişim noktasına bağlanabilecek uygun aralıkta bir cihaz buldular.
Tehdit aktörü, ayrıcalığı olmayan bir hesaptan uzak masaüstü bağlantısı (RDP) kullanarak hedef ağ üzerinde yatay olarak hareket ederek ilgilenilen sistemleri arayabilir ve veri sızdırabilir.
Hackerlar kaçtı servtask.bat Windows kayıt defteri kovanlarını (SAM, Güvenlik ve Sistem) boşaltmak ve bunları dışarı sızmak üzere bir ZIP arşivine sıkıştırmak için.
Saldırganlar, verileri toplarken ayak izlerini minimumda tutmak için genellikle yerel Windows araçlarına güvendiler.
“Volexity ayrıca GruesomeLarch’ın Ukrayna konusunda uzmanlığı olan kişilerden ve aktif olarak Ukrayna’yı içeren projelerden veri toplamak amacıyla aktif olarak A Organizasyonunu hedef aldığını belirledi” – Volexity
Soruşturmadaki birden fazla karmaşıklık, Volexity’nin bu saldırıyı bilinen herhangi bir tehdit aktörüne atfetmesini engelledi. Ancak bu yılın nisan ayında yayınlanan bir Microsoft raporu, Volexity’nin gözlemleriyle örtüşen ve Rus tehdit grubuna işaret eden uzlaşma göstergelerini (IoC’ler) içerdiğinden bunu açıkça ortaya koydu.
Microsoft’un raporundaki ayrıntılara göre, APT28’in kurbanın ağındaki Windows Yazdırma Biriktiricisi hizmetindeki CVE-2022-38028 güvenlik açığından sıfır gün olarak yararlanarak kritik yükleri çalıştırmadan önce ayrıcalıkları yükseltmeyi başarmış olması çok muhtemel.
APT28’in “yakın komşu saldırısı”, genellikle hedefe yakınlık gerektiren (örneğin otopark) yakın erişim operasyonunun uzaktan da yapılabileceğini ve fiziksel olarak tanımlanma veya yakalanma riskini ortadan kaldırdığını gösteriyor.
İnternete bakan cihazlar geçtiğimiz yıllarda MFA ve diğer koruma türlerinin eklenmesiyle geliştirilmiş güvenlikten yararlanmış olsa da, Wi-Fi kurumsal ağlarının diğer uzaktan erişim hizmetleriyle aynı dikkatle ele alınması gerekir.