Rus devlet destekli bilgisayar korsanlığı grubu GruesomeLarch (APT28 veya Fancy Bear olarak da bilinir), uzaktaki bilgisayar korsanlarının komşu işletmelerin Wi-Fi ağlarını kullanarak kuruluşlara sızmasına olanak tanıyan “En Yakın Komşu Saldırısı” adı verilen yeni ve gelişmiş bir saldırı tekniğini gösterdi.
Bu yeni teknik, bilgisayar korsanlarının kötü amaçlı yazılım olmadan ve yakındaki işletmelerin Wi-Fi ağlarından yararlanarak binlerce kilometre uzaktan bir kuruluşun ağına sızmasına olanak tanıdı.
Siber güvenlik firması Volexity tarafından Şubat 2022’de, Rusya’nın Ukrayna’yı işgalinden hemen önce keşfedilen saldırı, binlerce kilometre uzaktaki bilgisayar korsanlarının, fiziksel olarak orada bulunmadan hedeflerinin ağına nasıl yetkisiz erişim sağlayabildiklerini ortaya çıkardı.
En Yakın Komşu Saldırısı
Şubat 2022’nin başlarında, Rusya’nın Ukrayna’yı işgalinden hemen önce gerçekleşen saldırı, Ukrayna ile ilgili uzmanlık ve projelere sahip isimsiz bir kuruluşu (“Organizasyon A” olarak anılacaktır) hedef aldı. Bilgisayar korsanları, hedefin ağına erişim sağlamak için çok adımlı bir yaklaşım kullandı:
- Şifre püskürtme: Saldırganlar ilk olarak A Kuruluşunun halka açık hizmetlerine yönelik parola sprey saldırıları yoluyla kullanıcı kimlik bilgilerini ele geçirdi.
- Wi-Fi kullanımı: İnternete yönelik hizmetlerde çok faktörlü kimlik doğrulamayı (MFA) aşamayan bilgisayar korsanları, kuruluşun yalnızca kullanıcı adı ve parola gerektiren Kurumsal Wi-Fi ağına odaklandı.
- Papatya zinciri oluşturma: Saldırganlar, A Organizasyonunun Wi-Fi ağına uzaktan bağlanmak için yakındaki binalardaki sistemleri tehlikeye attı ve hem kablolu hem de kablosuz bağlantılara sahip çift bağlantılı bilgisayarlar aradı.
- Yanal hareket: Ağa girdikten sonra bilgisayar korsanları, tespit edilmekten kaçınmak için yerel Windows araçlarından yararlanarak arazide yaşama tekniklerini kullandı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Soruşturma, GruesomeLarch’ın birincil hedeflerine yakın birden fazla kuruluşa başarılı bir şekilde sızma yaptığını ortaya çıkardı. Bu, yakındaki bir binadaki güvenliği ihlal edilmiş bir sistemden Kuruluş A’nın Kurumsal Wi-Fi ağına bağlanmalarına olanak tanıdı.
Volexity’nin ekibi soruşturma sırasında saldırganın adli tıp karşıtı teknikleri kullanması da dahil olmak üzere çeşitli zorluklarla karşılaştı. Bilgisayar korsanları, izlerini kapatmak için Windows Cipher.exe yardımcı programını kullanarak güvenli dosya kurtarma işlemini zorlaştırdı.
İhlalin izi en sonunda birincil hedefin karşısında bulunan bir kuruluşa (“B Organizasyonu”) kadar uzandı. Daha ileri analizler, saldırganın nihai amacına ulaşmak için zincirleme bağlantılarda ısrar ettiğini gösteren, güvenliği ihlal edilmiş üçüncü bir varlığı (Organizasyon C) ortaya çıkardı.
Bilgisayar korsanları, erişimi yeniden kazanmak için son bir girişimde, A Kuruluşunun Konuk Wi-Fi ağındaki, kurumsal kablolu ağdan tamamen izole edilmemiş bir güvenlik açığından yararlandı. Bu onların ana ağa geri dönmelerine ve yüksek değerli verilere erişmelerine olanak sağladı.
Saldırı, Nisan 2024 tarihli bir Microsoft raporunda sağlanan açıklamaya uyan, GooseEgg adlı bir uzlaşma sonrası aracının kullanımına dayalı olarak GruesomeLarch’a atfedildi.
Bu olay, siber tehditlerin gelişen doğasını ve kuruluşların Wi-Fi güvenlik önlemlerini yeniden değerlendirme ihtiyacını ortaya koyuyor. Volexity, Wi-Fi erişimi için çok faktörlü kimlik doğrulamanın uygulanmasını, Wi-Fi ve Ethernet bağlantıları için ayrı ağ ortamları oluşturulmasını ve yerel Windows yardımcı programlarının anormal kullanımının izlenmesini önerir.
En Yakın Komşu Saldırısı, yakın fiziksel yakınlığın avantajlarını uzak mesafeden çalışma yeteneğiyle birleştiren yeni bir siber tehdit sınıfını temsil ediyor. Kuruluşlar internete yönelik savunmalarını güçlendirmeye devam ederken, saldırganlar Wi-Fi ağlarında ve bitişik sistemlerde gözden kaçan güvenlik açıklarından yararlanmanın yaratıcı yollarını buluyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılımları ve Kimlik Avını Analiz Edin -> Ücretsiz Deneyin