Rusya’nın GRU askeri istihbarat teşkilatı ile ilişkili bir tehdit grubu olan Forest Blizzard, hedefin kurumsal Wi-Fi ağının kimliğini doğrulamak için kullandıkları yakınlardaki firmaların güvenliği ihlal edilmiş bilgisayar sistemleri aracılığıyla ABD merkezli bir organizasyonun ihlallerini defalarca gerçekleştirdi.
Tekrarlanan saldırılar
Kuruluşların, ulus devlet düzeyindeki davetsiz misafirlerin sistem ve ağlarının varlığını tespit etmesine ve bu kişilerin sistem ve ağlarından çıkarılmasına yardımcı olma konusunda uzmanlaşmış bir şirket olan Volexity, saldırganların ilk olarak hedef ABD kuruluşunun ağındaki bir sunucuda Şubat 2022’nin başlarında, deneme sırasında tespit edildiğini söyledi. ayrıcalıklı olmayan bir kullanıcı hesabıyla (RDP üzerinden) oturum açarak erişim kazandıktan sonra hassas kayıt defteri kovanlarını dışarı çıkarmak için.
Araştırmaları, saldırganların bundan önce geçerli oturum açma bilgilerini keşfetmek için kuruluşun internete yönelik web hizmetlerine şifre püskürtme saldırıları düzenlediklerini ortaya çıkardı. Ancak çok faktörlü kimlik doğrulama (MFA) uygulandığı için bunları doğrudan kullanamıyorlardı.
“Ancak Kurumsal Wi-Fi ağı, MFA’ya ihtiyaç duymuyordu ve kimlik doğrulaması için yalnızca kullanıcının geçerli etki alanı kullanıcı adı ve şifresine ihtiyaç duyuyordu. Bu sırada tehdit aktörü dünyanın öbür ucundaydı ve fiili olarak bağlantı kuramıyordu. [the target organization’s] Kurumsal Wi-Fi ağı,” diye paylaştı Volexity’den Sean Koessel, Steven Adair ve Tom Lancaster.
Sorunu şu şekilde çözdüler:
- Yakındaki bir kuruluşun sistemini ihlal etmek
- Ağa kablolu Ethernet bağlantısıyla bağlanan ve Wi-Fi bağdaştırıcısına sahip erişilebilir sistemleri bulmak için bu kuruluş içinde yanlara doğru hareket etme
- Hedef kuruluşun Wi-Fi ağına bağlanmak ve daha önce şifre püskürtme yoluyla ele geçirdikleri kimlik bilgilerini kullanarak kimlik doğrulaması yapmak için bu Wi-Fi adaptörünü kullanmak.
Yakındaki kuruluş, çalınan VPN kimlik bilgileri kullanılarak saldırıya uğradı; bu hesaplarda MFA etkin değildi. Saldırganlar ayrıca, yakındaki üçüncü bir kuruluşun güvenliği ihlal edilmiş bir sisteminden bu ikinci kuruluşun kurumsal Wi-Fi’sine atlamak için daha önce açıklanan tekniği de kullandı.
Saldırganlar, bilgisayardan çıkarıldıktan sonra geri döndüler ve hedeflenen kuruluşun konuk Wi-Fi ağına bağlı olan sistemi tehlikeye attılar; bu da, kurumsal kablolu ağdan tamamen izole edilememesine neden oldu.
“Saldırgan, En Yakın Komşu Saldırısı yöntemini kullanarak, erişim yöntemi olarak yalnızca geçerli kullanıcı kimlik bilgilerini kullanarak hiçbir kötü amaçlı yazılım dağıtmadan kuruluştan kuruluşa zincirleme bağlantı kurmayı başardı. Saldırgan daha sonra kötü amaçlı yazılımların yayılmasını önlemek ve EDR ürünleri tarafından tespit edilmekten kaçınmak için arazide yaşama tekniklerini kullanmaya odaklandı.” diye belirtti şirket.
Grup, birim gölge kopyası oluşturmak için VSSAdmin ve saldırı sırasında diske yazdıkları silinmiş dosyaların üzerine yazmak için Cipher gibi Windows’un yerleşik araçlarını kullandı.
Orgs, Wi-Fi’nizi güvence altına alın
2024 yılında Microsoft, grubun diğer saldırılarda kullandığı GooseEgg adlı bir uzlaşma sonrası araç hakkındaki bilgileri paylaştıktan sonra Volexity, bu izinsiz girişleri Forest Blizzard’a (diğer adıyla APT28, diğer adıyla GruesomeLarch) bağlamayı başardı.
Bu akıllı saldırı yöntemiyle grup, üyelerinden birinin fiziksel olarak yeterince yakın olmasına gerek kalmadan hedef kuruluşun kurumsal Wi-Fi ağına bağlanmayı başardı.
“İnternet’e yönelik hizmetlerin MFA ile güvence altına alındığı veya tamamen kaldırıldığı saldırı yüzeyinin azaltılması konusunda son birkaç yılda önemli miktarda çaba sarf edildi. Bu saldırı, hedeflenen Wi-Fi sistemlerindeki güvenlik kontrollerinin e-posta veya VPN gibi diğer kaynaklara göre daha düşük düzeyde olması nedeniyle mümkün oldu.” diye açıkladı Volexity.
Kuruluşlar, birden fazla kimlik doğrulama faktörünün kullanımını zorunlu kılarak veya kimlik doğrulama sertifikalarından yararlanarak Wi-Fi ağlarına erişimi daha güvenli hale getirmeyi düşünmelidir.