俄黑客通過“近鄰攻擊”遠程入侵美國企業WiFi網絡
責編:gltian |2024-11-25 10:29:05近日,網絡安全公司Volexity曝光了一起令人震驚的網絡攻擊事件,俄羅斯黑客組織APT28成功突破物理攻擊范圍,入侵了萬里之外的一家美國企業的Wi-Fi網絡。
據報道,2022年2月,美國首都華盛頓一家企業的WiFi網絡被發現遭遇了極不尋常的攻擊,這次攻擊被歸因于俄羅斯國家黑客組織APT28(亦稱Fancy Bear/Forest Blizzard/Sofacy),后者過一種名為“近鄰攻擊”的新技術,遠程入侵了該美國企業的WiFi網絡。此次事件暴露了企業WiFi網絡被忽視的致命盲區和漏洞,同時也展現了APT28不斷創新的攻擊方式。
APT28是隸屬于俄羅斯軍事情報總局(GRU)第26165部隊的黑客組織,早在2004年便開始活躍,主要攻擊目標是西方政府、軍事部門。
攻擊細節:從“鄰居”到目標的跳板式入侵
1.起點:WiFi網絡的密碼噴射攻擊
APT28首先通過對目標企業暴露在互聯網的服務進行密碼噴射攻擊,獲取了該企業WiFi網絡的訪問憑證。然而,由于企業實施了多因素認證(MFA),黑客無法通過公共網絡直接利用這些憑證訪問目標網絡。
2.創新策略:尋找“鄰居”作為跳板
遠隔萬里“蹭網”顯然存在難以逾越的物理距離問題,APT28采取了一種創造性策略。他們瞄準了目標企業附近建筑內的其他企業,通過滲透這些企業的網絡設備進行跳板式入侵。黑客尋找具有“雙網連接”能力的設備(例如同時連接有線和無線網絡的筆記本電腦或路由器),以利用其無線網卡連接到目標企業的WiFi網絡。
3.實施:跳板攻擊與滲透
Volexity的調查顯示,APT28成功入侵了多個鄰近組織,并最終找到了一個設備,該設備能夠接入目標企業會議室附近的三個無線接入點(AP)。黑客通過遠程桌面連接(RDP)使用非特權賬戶進入目標網絡,逐步擴展其權限,最終能夠訪問關鍵系統并提取敏感數據。
技術手段:低調但高效
1.數據提取與腳本操作
黑客運行了名為“servtask.bat”的腳本,用以轉儲Windows注冊表中的關鍵數據(如SAM、安全性和系統信息),并將其壓縮為ZIP文件進行傳輸。這些信息為進一步的網絡滲透和數據竊取提供了基礎。
2.使用本地工具降低被發現風險
APT28主要依賴Windows自帶工具執行操作,以減少其在受感染系統中的行為痕跡。這種低調的操作方式使得黑客在不觸發異常警報的情況下成功提取數據。
3.利用零日漏洞擴展權限
根據微軟今年4月的一份報告,APT28可能利用了Windows打印后臺處理服務中的一個零日漏洞(CVE-2022-38028)來提升其在目標網絡中的權限,從而運行關鍵的惡意負載。
“鄰居攻擊”帶來的啟示:物理安全邊界不存在了
APT28的“鄰居攻擊”顛覆了傳統近距離物理攻擊的概念,通常近距離物理攻擊要求攻擊者在目標附近,例如停車場等場所。但此次事件表明,通過利用跳板式策略,攻擊者能夠在遠程位置發動物理攻擊,同時規避被物理追蹤和識別的風險。
網絡安全防護的反思與建議
雖然近年來針對互聯網暴露設備的安全措施,如MFA和強密碼管理,已顯著提升,但WiFi網絡的安全性仍然是許多企業的薄弱環節。企業需將WiFi網絡視為與其他遠程訪問服務同等重要的安全防護對象。
針對APT28的攻擊模式,企業可以采取以下措施:
- 實施嚴格的WiFi訪問控制,例如基于設備認證的訪問策略。
- 配置網絡隔離,防止內部設備同時連接無線和有線網絡。
- 定期監控網絡流量,及時發現可疑行為。
企業需要從安全文化和技術雙管齊下,提高多層防護能力。結合行為分析和異常檢測工具更早發現類似攻擊,同時加強員工安全意識培訓,減少密碼噴射攻擊的成功率。
參考鏈接:
https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack-how-a-russian-apt-weaponized-nearby-wi-fi-networks-for-covert-access/