Ünlü Rus gelişmiş kalıcı tehdidi (APT) tarafından kullanılan karmaşık bir siber casusluk saldırısı Fantezi Ayı Mevcut Rusya-Ukrayna savaşının başlangıcında, bir tehdit aktörünün, yakındaki bir Wi-Fi ağını tehlikeye atarak uzaktaki bir örgütün ağına uzaktan sızmak için kullanabileceği yeni bir saldırı vektörü ortaya çıkıyor.
Fancy Bear (diğer adıyla APT28 veya Forest Blizzard), Volexity’deki araştırmacıların “En Yakın Komşu” saldırısı olarak adlandırdığı bu yöntemi kullanarak bir ABD kuruluşunun ağını ihlal etti.
“Tehdit aktörü bunu, amaçlanan hedefi olan A Organizasyonu’nun yakınında bulunan birden fazla organizasyonun tehlikeye atılması için yaklaşımlarını zincirleme bağlayarak başardı.” Volexity araştırmacıları Sean Koessel, Steven Adair ve Tom Lancaster saldırıyı detaylandıran bir gönderi yazdılar. “Bu, kurbandan binlerce kilometre uzakta ve okyanuslar kadar uzakta bulunan bir tehdit aktörü tarafından yapıldı.”
Araştırmacılar, saldırının amaçlanan hedeften bu kadar uzaktaki bir saldırganın Wi-Fi yöntemini kullanması için “yeni bir saldırı sınıfı” gösterdiğini söyledi. Volexity parçaları Fantezi Ayı – Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü’nün (GRU) en az 20 yıldır aktif bir düşman olan bir parçası – “Korkunç Karaçam” olarak APT’nin birçok ismi.
Volexity, saldırıyı ilk olarak Şubat 2022’de Rusya’nın Ukrayna’yı işgal etmesinden hemen önce, Volexity’nin bir müşteri sitesine dağıttığı tespit imzasının güvenliği ihlal edilmiş bir sunucuya işaret etmesiyle keşfetti. Sonunda araştırmacılar, Fancy Bear’ın saldırıyı Washington DC merkezli kuruluştan “Ukrayna konusunda uzmanlığı olan kişilerden ve aktif olarak Ukrayna’yı içeren projelerden veri toplamak için” kullandığını belirleyeceklerdi.
Birden Fazla Kuruluşla Zincirlenen Bir Siber Saldırı
Söz konusu saldırı Fantezi Ayı Hedefe fiziksel olarak yakın olan en az iki Wi-Fi ağını tehlikeye atmak için kimlik bilgisi doldurma saldırıları gerçekleştirmek. Volexity’ye göre, çok faktörlü kimlik doğrulama (MFA) kullanımı nedeniyle kimlik bilgisi doldurma saldırıları tek başına hedeflenen kuruluşun ağını tehlikeye atamayacağından, saldırgan daha sonra kimlik bilgilerini kullanarak kuruluşun güvenliğini tehlikeye attı.
Araştırmacılar, “Ancak, Wi-Fi ağı MFA tarafından korunmuyordu, bu da hedef ağa yakınlık ve bağlanmak için tek gerekliliğin geçerli kimlik bilgileri olduğu anlamına geliyor” diye yazdı.
Sonuçta, soruşturmanın “yaratıcı, becerikli ve motive bir tehdit aktörünün siber casusluk hedeflerine ulaşmak için gitmeye istekli olduğu mesafeleri” ortaya çıkardığını yazdılar.
Uzun bir soruşturma sırasında Volexity, yalnızca hedeflenen kuruluşla değil, aynı zamanda hedefe ulaşmak için ihlal edilen diğer iki kuruluşla (diğer adıyla B ve C Organizasyonları) bağlantı kurdu.
Sonuçta Volexity, A Kuruluşunun ağındaki başka bir sistemden Uzak Masaüstü Protokolü (RDP) aracılığıyla kendisine bağlanmak için ayrıcalıklı kimlik bilgilerini kullanan, A Kuruluşunu ihlal edecek bir saldırı yapısı keşfetti.
Araştırmacılar, gönderilerinde “Bu sistem çift bağlantılıydı ve kablolu Ethernet aracılığıyla internete bağlanıyordu, ancak aynı zamanda kullanılabilecek bir Wi-Fi ağ adaptörü de vardı” diye açıkladı. “Saldırgan bu sistemi buldu ve kablosuz kapsama alanı içindeki mevcut ağları incelemek için özel bir PowerShell betiği kullandı ve ardından ele geçirdiği kimlik bilgilerini kullanarak Kuruluş A’nın kurumsal Wi-Fi’sine bağlandı.”
Araştırmacılar ayrıca, APT’nin nihai hedefe izinsiz erişim sağlamak amacıyla B Organizasyonu’nun ağına erişmek için iki mod kullandığını keşfetti. Bunlardan ilki, kuruluşun MFA ile korunmayan VPN’sine bağlanmalarına olanak tanıyan, parola püskürtme yoluyla elde edilen kimlik bilgilerini kullanmaktı. Araştırmacılar, Volexity’nin ayrıca saldırganın, yakındaki C Organizasyonuna ait başka bir ağdan Organizasyon B’nin Wi-Fi’sine bağlandığına dair kanıtlar bulduğunu ve bu durumun, saldırıya zincirleme yaklaşımla yaklaşıldığını gösterdiğini yazdı.
Saldırı boyunca, Fantezi Ayı standart Microsoft protokollerinden yararlanarak ve kuruluş genelinde yatay olarak ilerleyerek arazide yaşama yaklaşımını benimsedi. Araştırmacılar, özellikle kullandıkları araçlardan birinin, Windows’un her modern sürümüyle birlikte gelen yerleşik bir Windows aracı olan Cipher.exe olduğunu buldu.
(Wi-Fi) Komşularınıza Dikkat Edin
Çünkü saldırı, uzlaşma örgütleri için yeni bir riski vurguluyor Wi-Fi aracılığıyla Saldırgan uzakta olsa bile, savunucuların “Wi-Fi ağlarının kendi operasyonel güvenliklerine yönelik oluşturabileceği riskler konusunda ek değerlendirmeler yapmaları ve bunlara sanal özel ağlar gibi diğer uzaktan erişim hizmetleriyle aynı özen ve dikkatle yaklaşmaları gerekir.” ağlar (VPN’ler),” araştırmacılar gözlemledi.
Kuruluşların bu tür bir saldırıdan kaçınmasına yönelik öneriler arasında Wi-Fi ve Ethernet kablolu ağlar için, özellikle Ethernet tabanlı ağların hassas kaynaklara erişime izin verdiği durumlarda ayrı ağ ortamları oluşturulması yer alıyor. Ayrıca, kimlik doğrulama veya sertifika tabanlı çözümler için MFA gerekliliklerinin uygulanması gibi Wi-Fi ağlarına yönelik erişim gerekliliklerini sertleştirmeyi de dikkate almaları gerekiyor.
Tehdit aktörü ağda varlık kazandığında benzer bir saldırıyı tespit etmek için kuruluşlar, ortak netsh ve Cipher.exe yardımcı programlarının anormal kullanımını izlemeyi ve bu konuda bir uyarı yerleştirmeyi düşünmelidir. Savunmacılar ayrıca C:\ProgramData\ kökü gibi çeşitli standart dışı konumlardan yürütülen dosyaları aramak için özel algılama kuralları oluşturabilir ve bir ortamda çalışan İnternet’e yönelik hizmetlerden veri sızdırılmasının tespitini geliştirebilir.