Güvenlik dünyası artık korunan ağlara yönelik yeni bir saldırı yöntemini biliyor: “en yakın komşu saldırısı”. İddiaya göre bu prosedür, APT28 grubundan Rus siber saldırganların ABD'deki bir şirketin ağına sızmasına olanak sağladı. Hem bu firmanın hem de aynı lokasyondaki komşu firmanın altyapısına saldırdılar.
Reklamcılık
Volexity'nin güvenlik danışmanlarının bildirdiğine göre müşterilerinden biri bunu yaparken yakalandı. Sistemlerine şüpheli erişim olduğunu fark etti ancak saldırganların ağa nasıl girebildiğini açıklayamadı. Volexity olayı bir buçuk ay boyunca araştırdı ve birkaç sonuca vardı: Davetsiz misafirler bu şirkete Şubat 2022'de özellikle saldırmıştı çünkü şirket Ukrayna'da belirtilmemiş “projeler” yürütüyordu, bunlarla ilgili verileri aramıştı ve aynı zamanda sıfır gün kodunu kullanmıştı. boşluk eklendi. Kısa bir süre sonra Rusya'nın Ukrayna'yı işgali başladı.
Volexity, bu organizasyonla daha önce de uğraştıkları için, saldırıyı Fancy Bear, Forest Blizzard, Sofacy veya Volexity'nin daha önce kullandığı gibi GruesomeLarch gibi isimlerle de bilinen APT28'e atar. Güvenlik araştırmacıları tarafından çalışma isimleri olarak verilen bu terimlerin tümü, “Gelişmiş Kalıcı Tehdit”i (APT) temsil eden aynı gruba, yani uzun bir süre boyunca karmaşık yöntemler ve yüksek düzeyde tehdit oluşturan bir kuruluşa atıfta bulunmaktadır. çaba.
Microsoft'un analizi APT28'in izini sürüyor
Güvenlik araştırmacılarının ortak görüşüne göre bunun arkasında genellikle grupları finanse eden, koruyan ve örneğin güvenlik açıklarını ileterek destekleyen devletler vardır. Sonuçta saldırıyı yalnızca Volexity'nin müşterisine atfetmek mümkün oldu çünkü Microsoft, Nisan 2024'te APT28 tarafından kullanılan ve Windows'taki bir güvenlik açığından yararlanan bir yöntemi tanımladı. Volexity, müşterisine yapılan saldırıda da bu prosedürün bazı kısımlarını buldu. Bunun için kullanılan araca “GooseEgg” adı veriliyor ve Şubat 2022'de saldırıya uğrayan ABD şirketinde bulunan açıktan yararlanmayı içeriyordu. Daha doğrusu: bunun bir kısmı, çünkü davetsiz misafirler, diğer şeylerin yanı sıra, izinsiz girişlerin çoğunu güvenli bir şekilde ücretsiz dosyaların üzerine yazarak kapatmışlardı. Windows entegre aracı “cipher.exe” ile depolama alanı.
Ancak işler bu kadar ilerlemeden önce davetsiz misafirlerin ağa girmenin yolunu bulması gerekiyordu. Sistemlere erişim çok faktörlü kimlik doğrulama (MFA) ile güvence altına alındığından bu hemen mümkün olmadı. Saldırganlar erişim verilerini şifre püskürtme kullanarak elde etmişti ancak bu parolayla giriş yaptıktan sonra bir sonraki aşamada başarısız oldular. Ancak MFA'ya sahip olmayan şey, şirketin kendi misafir Wi-Fi'sine giriş yapmaktı. Peki Rusya'dan gelen radyo ağının kapsama alanına nasıl girilir?
Hedefe giden bir köprü olarak mahalle WiFi'si
Cevap oldukça basit: hedefin erişim noktalarından sinyal alabilen komşu bir WLAN cihazı aracılığıyla. Burası aynı zamanda siber suçluların bu üçüncü taraf şirkete İnternet üzerinden saldırarak ve ardından WLAN cihazlarını hedef şirkete bir köprü gibi kullanarak başladıkları yerdir. Bu, Volexity'nin sistemlerinin aktif saldırılar sırasında her iki şirketin ağ günlüklerini değerlendirmesi nedeniyle keşfedildi. Sonuçta saldırganların ağa her zaman aynı üç erişim noktasından ve aynı cadde üzerinde tam karşıda bulunan bir şirket üzerinden girdiği ortaya çıktı.
Kritik sistemlere hedefin konuk WLAN'ı aracılığıyla erişilebilmesi, bunlardan birine hem kablolu Ethernet hem de konuk WLAN aracılığıyla erişilebilmesinden kaynaklanıyordu. Bu, MFA'nın artık geçerli olmadığı anlamına geliyordu; açıkça yanlış bir yapılandırmaydı. Saldırganlar bu sistemden ağın geri kalanına doğru ilerlediler.
Bundan kaçınmak sadece olaydan alınacak bir ders değildir. Yöneticilerin artık WLAN üzerinden yalnızca gelen bağlantılara değil aynı zamanda giden bağlantılara da daha fazla dikkat etmesi gerekiyor. Başka bir şirketin WLAN'ına aniden sürekli olarak daha önce görülmemiş bir kablosuz ağ trafiği oluşursa, yakından bakmalısınız.
(Asla)
Reklamcılık
Volexity'nin güvenlik danışmanlarının bildirdiğine göre müşterilerinden biri bunu yaparken yakalandı. Sistemlerine şüpheli erişim olduğunu fark etti ancak saldırganların ağa nasıl girebildiğini açıklayamadı. Volexity olayı bir buçuk ay boyunca araştırdı ve birkaç sonuca vardı: Davetsiz misafirler bu şirkete Şubat 2022'de özellikle saldırmıştı çünkü şirket Ukrayna'da belirtilmemiş “projeler” yürütüyordu, bunlarla ilgili verileri aramıştı ve aynı zamanda sıfır gün kodunu kullanmıştı. boşluk eklendi. Kısa bir süre sonra Rusya'nın Ukrayna'yı işgali başladı.
Volexity, bu organizasyonla daha önce de uğraştıkları için, saldırıyı Fancy Bear, Forest Blizzard, Sofacy veya Volexity'nin daha önce kullandığı gibi GruesomeLarch gibi isimlerle de bilinen APT28'e atar. Güvenlik araştırmacıları tarafından çalışma isimleri olarak verilen bu terimlerin tümü, “Gelişmiş Kalıcı Tehdit”i (APT) temsil eden aynı gruba, yani uzun bir süre boyunca karmaşık yöntemler ve yüksek düzeyde tehdit oluşturan bir kuruluşa atıfta bulunmaktadır. çaba.
Microsoft'un analizi APT28'in izini sürüyor
Güvenlik araştırmacılarının ortak görüşüne göre bunun arkasında genellikle grupları finanse eden, koruyan ve örneğin güvenlik açıklarını ileterek destekleyen devletler vardır. Sonuçta saldırıyı yalnızca Volexity'nin müşterisine atfetmek mümkün oldu çünkü Microsoft, Nisan 2024'te APT28 tarafından kullanılan ve Windows'taki bir güvenlik açığından yararlanan bir yöntemi tanımladı. Volexity, müşterisine yapılan saldırıda da bu prosedürün bazı kısımlarını buldu. Bunun için kullanılan araca “GooseEgg” adı veriliyor ve Şubat 2022'de saldırıya uğrayan ABD şirketinde bulunan açıktan yararlanmayı içeriyordu. Daha doğrusu: bunun bir kısmı, çünkü davetsiz misafirler, diğer şeylerin yanı sıra, izinsiz girişlerin çoğunu güvenli bir şekilde ücretsiz dosyaların üzerine yazarak kapatmışlardı. Windows entegre aracı “cipher.exe” ile depolama alanı.
Ancak işler bu kadar ilerlemeden önce davetsiz misafirlerin ağa girmenin yolunu bulması gerekiyordu. Sistemlere erişim çok faktörlü kimlik doğrulama (MFA) ile güvence altına alındığından bu hemen mümkün olmadı. Saldırganlar erişim verilerini şifre püskürtme kullanarak elde etmişti ancak bu parolayla giriş yaptıktan sonra bir sonraki aşamada başarısız oldular. Ancak MFA'ya sahip olmayan şey, şirketin kendi misafir Wi-Fi'sine giriş yapmaktı. Peki Rusya'dan gelen radyo ağının kapsama alanına nasıl girilir?
Hedefe giden bir köprü olarak mahalle WiFi'si
Cevap oldukça basit: hedefin erişim noktalarından sinyal alabilen komşu bir WLAN cihazı aracılığıyla. Burası aynı zamanda siber suçluların bu üçüncü taraf şirkete İnternet üzerinden saldırarak ve ardından WLAN cihazlarını hedef şirkete bir köprü gibi kullanarak başladıkları yerdir. Bu, Volexity'nin sistemlerinin aktif saldırılar sırasında her iki şirketin ağ günlüklerini değerlendirmesi nedeniyle keşfedildi. Sonuçta saldırganların ağa her zaman aynı üç erişim noktasından ve aynı cadde üzerinde tam karşıda bulunan bir şirket üzerinden girdiği ortaya çıktı.
Kritik sistemlere hedefin konuk WLAN'ı aracılığıyla erişilebilmesi, bunlardan birine hem kablolu Ethernet hem de konuk WLAN aracılığıyla erişilebilmesinden kaynaklanıyordu. Bu, MFA'nın artık geçerli olmadığı anlamına geliyordu; açıkça yanlış bir yapılandırmaydı. Saldırganlar bu sistemden ağın geri kalanına doğru ilerlediler.
Bundan kaçınmak sadece olaydan alınacak bir ders değildir. Yöneticilerin artık WLAN üzerinden yalnızca gelen bağlantılara değil aynı zamanda giden bağlantılara da daha fazla dikkat etmesi gerekiyor. Başka bir şirketin WLAN'ına aniden sürekli olarak daha önce görülmemiş bir kablosuz ağ trafiği oluşursa, yakından bakmalısınız.
(Asla)