This post is also available in:
English (אנגלית)
האקרים הנתמכים ע"י ממשלת רוסיה השתמשו בשיטת תקיפה חדשה המנצלת רשתות WiFi סמוכות כדי לחדור לארגונים. מתקפת הסייבר, המיוחסת לקבוצת APT28 המוכרת (הידועה גם בשם Fancy Bear, Forest Blizzard, או Sofacy), עקפה אמצעי אבטחה מתקדמים כמו אימות רב-גורמי על ידי שרשור רשתות WiFi שנפרצו, מה שאפשר לתוקפים להכות ממרחק של אלפי קילומטרים.
התקיפה, שהתגלתה על ידי חברת אבטחת הסייבר Volexity, תוקפת ארגונים על ידי ניצול של התקני WiFi פגיעים בקרבת היעד המיועד. במקרה שתועד, האקרים החלו על ידי פריצת רשת הווייפיי של ארגון ג', דילוג לרשת של ארגון ב', ובסופו של דבר להגיע ליעד הסופי, ארגון א'.
APT28, המקושר למנהלת המודיעין הראשית של המטה הכללי של רוסיה, ניסתה בתחילה לפגוע בארגון א' ישירות באמצעות טקטיקות ריסוס, אך אימות רב-גורמי סיכל את מאמציהם. במקום לוותר, ההאקרים התאימו את האסטרטגיה שלהם על ידי ניצול רשתות WiFi מארגונים שכנים. הם הסתמכו על מערכות "דואליות" – מכונות עם חיבורי רשת חוטית ואלחוטית כאחד – מה שאפשר להם להתחבר לרשתות WiFi ולעקוף מערכות אימות.
באמצעות שימוש באישורים שנפרצו, התוקפים התחברו לרשת ה-WiFi של ארגון א' דרך נקודת גישה חשופה, וקיבלו גישה לא מורשית. בנוסף, הם פרצו לרשת של ארגון ב', שלא הייתה לה הגנת אימות-רב גורמי עבור ה-VPN שלה. גישה מורכבת ומרובת שלבים זו אפשרה להם לעקוף הגנות שאחרת היו בלתי ניתנות לחדירה.
כדי לבצע את ההתקפה, APT28 השתמש בטקטיקות מתוחכמות, כולל סקריפטים מותאמים אישית של PowerShell כדי לזהות רשתות WiFi סמוכות ולהכניס נתוני כניסה בברוט-פורס. ברגע שהם נכנסו, הם השתמשו בכלים של Windows כדי לטשטש את עקבות הנוכחות שלהם, תוך כדי הזלגת נתונים קריטיים באמצעות טכניקות נפוצות כמו shadow copies ופקודות PowerShell.
מה שהופך את ההתקפה לבולטת במיוחד הוא היכולת של התוקפים לפעול ממרחק, תוך שימוש ברשתות WiFi בבניינים סמוכים. השיטה דומה לפעולות ישנות יותר של "גישה מקרוב", שבהן האקרים היו מחביאים ציוד רדיו בקרבת מקום, אך "מתקפת השכן הקרוב ביותר" מסירה את הסיכון להתגלות פיזית.
החקירה של Volexity חשפה כי ההאקרים אפילו השתמשו בשרתים ציבוריים כדי להזליג מידע גנוב, מה שמראה רמה גבוהה של תחכום. אחת ההמלצות העיקריות של Volexity היא להקשיח את אבטחת רשת ה- WiFi, כולל שימוש ב-MFA עבור גישה ל-WiFi והפרדה של רשתות אלחוטיות מרשתות מבוססות Ethernet כדי למנוע הפרות כאלה.
ככל שמתקפות כאלה מתפתחות, הממצאים מדגישים את החשיבות של חיזוק אבטחת הרשת, במיוחד בסביבות שבהן מערכות WiFi יכולות להוות נקודת כניסה פוטנציאלית להאקרים מתוחכמים.
