Siber Savaş / Ulus-Devlet Saldırıları, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
‘En Yakın Komşu Saldırısı’ WiFi Ağlarını İhlal Ederek Siber Savunmaları Aşıyor
Chris Riotta (@chrisriotta) •
25 Kasım 2024
Yeni araştırmaya göre, bir Rus siber casusluk grubu, Wi-Fi bağlantısını kullanan yeni bir saldırı tekniği kullanarak, Ukrayna’ya odaklanan Washington DC merkezli bir kuruluşu hackledi.
Ayrıca bakınız: 2024 Tehdit Avcılığı Raporu: Modern Düşmanları Zekice Alt Etmeye Yönelik İçgörüler
Hack, Rusya’nın 2022’de Ukrayna’yı işgal etmesinden hemen önce gerçekleşti ve Volexity araştırmacılarının siber güvenlik firmasının şimdiye kadar yürüttüğü “en etkileyici ve karmaşık” soruşturmalardan biri olarak adlandırdığı soruşturmayı ateşledi. Firma, Cuma günü Arlington, Virginia’daki Cyberwarcon zirvesinde “en yakın komşu saldırısı” olarak adlandırdığı olayı açıkladı.
Rusya Genelkurmay Ana İstihbarat Müdürlüğü’nün daha çok GRU olarak bilinen bir bilgisayar korsanlığı birimi, özellikle bir sistem kullanarak hedef kuruluşa erişim sağlamak için bir atlama noktası olarak kullandığı yakındaki bir kuruluşun güvenliğini ihlal ettikten sonra kurban ağını ihlal etti. kurbanın Wi-Fi ağına bağlanmak için üçüncü kuruluşta. Resmi olarak 85. Ana Özel Hizmetler Merkezinin 26165 Birimi olan tehdit aktörü, APT 28, Forest Blizzard, Fancy Bear ve Volexity tarafından “GruesomeLarch” takma adlarıyla takip ediliyor.
Rus devlet korsanları, halka açık bir giriş noktasına şifre sprey saldırısı düzenleyerek hedefin ağına girmeye çalışmıştı. Ancak çok faktörlü kimlik doğrulama gereksinimi nedeniyle engellendiler.
İçeri girmenin yolu, fiziksel olarak yakındaki bir kuruluşun ağını hacklemek ve hedefin Wi-Fi sinyali aralığında bir sistem aramaktı. Hedefin Wi-Fi sistemi çok faktörlü kimlik doğrulama gerektirmediği için Rus bilgisayar korsanları oturum açıp ağa erişim sağlayabildi.
Volexity’nin kurucusu ve başkanı Steven Adair, en yakın komşuya saldırı metodolojisinin hedefleme ve saldırıların önemli ölçüde genişlemesine yol açabileceğini söyledi.
Adair, Bilgi Güvenliği Medya Grubu’na, “Hackerlar, daha önce bir hedefe fiziksel olarak yakın olmaya dayanan bir saldırı yöntemini kullanabiliyor ve artık bunu uzaktan gerçekleştirerek ilişkili riski ortadan kaldırabiliyor” dedi. “Bir tehdit aktörü, fiziksel olarak keşfedilme korkusu olmadan bu tür bir saldırıyı başlatabilir.”
Volexity, olayın yeni bir saldırı sınıfının bilinen ilk örneğini temsil ettiğini söylüyor; “bir tehdit aktörü, bir kuruluşun güvenliğini ihlal ediyor ve Wi-Fi ağları aracılığıyla fiziksel olarak yakın mesafedeki diğer kuruluşların güvenliğini tehlikeye atmak amacıyla kimlik bilgileri doldurma saldırıları gerçekleştiriyor.” Bilgisayar korsanları Wi-Fi’nin yakınlık sınırlamalarını sinyal güçlendirme, kablosuz röleler veya fiziksel ticaret yoluyla aşamazlar. Zaten menzil içinde olan bir sistemi hacklemek yeterlidir.
Volexity, bilgisayar korsanlığı kampanyasını 4 Şubat 2022’de bilgisayar korsanlarının sıkıştırılmış dosyalar aracılığıyla veri sızdırmaya başlamasıyla tespit etti. Dosyaları güvenli bir şekilde silerek tespitten kaçınmak için Microsoft’un yerel Cipher.exe yardımcı programını kullandılar; bu aynı zamanda Volexity’nin bir saldırganın “izlerini anti-adli yöntemler ile kapattığını” ilk kez gözlemlediğine işaret ediyor.
Volexity, kurban kuruluşun ağını yönetmek için kullanılan, ayrıntılı günlükler içeren ve güvenlik analistlerinin saldırganın IP adresini ortaya çıkarmasına olanak tanıyan bir kablosuz denetleyici keşfettikten sonra soruşturmaya ara verdi. Analistler, saldırganın sokağa bakan pencerelerin yakınındaki kablosuz erişim noktalarına bağlı olduğunu tespit etti; bu da tehdidin binanın dışından kaynaklandığını gösteriyor.
En yakın komşuya saldırı yöntemi Rus istihbaratı için o kadar başarılı oldu ki, kurbanın ağını sağlamlaştırmasına rağmen birkaç ay sonra aynı yöntemi kullanarak geri döndü. İkinci saldırı ise kurban organizasyonun misafir Wi-Fi ağına sızdı. Kuruluş, kurumsal ağı konuk ağından tamamen izole ettiğini düşünüyordu ancak “hem Wi-Fi ağından hem de kurumsal kablolu ağdan erişilebilen bir sistem vardı.”
Birim 26165, Rusya’nın Ukrayna’nın kritik altyapısına yönelik siber saldırısında kilit bir rol oynadı; enerji tesislerine ve ulaşım ve hükümet sistemleri de dahil olmak üzere diğer sektörlere karşı kapsamlı siber casusluk ve hackleme operasyonları gerçekleştirdi. Önceki raporlar, tehdit grubunun bilinen güvenlik açıklarından yararlandığını ve dünya çapında kötü amaçlı yazılım dağıtmak için kötü yapılandırılmış ağlardan yararlandığını gösteriyordu (bkz: Ukrayna Kimlik Avı Saldırılarıyla Karşı Karşıya, Bilgi Operasyonları).