Ruskí hackeri obišli zabezpečenie firmy cez Wi-Fi susednej budovy

Ruská hackerská skupina GruesomeLarch, tiež verejne známa ako Fancy Bear, prenikla vo februári 2022 do systémov nemenovanej spoločnosti, aby od nej odcudzila dáta týkajúce sa jej ukrajinských projektov.

Informácie o tomto útoku sa dostali na verejnosť až pred niekoľkými dňami so súhlasom napadnutej spoločnosti. Jednať sa malo o jeden z najunikítnejších útokov, s akými sa prípad vyšetrujúca kybernetická spoločnosť doposiaľ stretla.

K útoku malo podľa spoločnosti Volexity dôjsť tesne pred ruskou inváziou na Ukrajinu, pričom toto načasovanie zrejme nebolo náhodné. Skupina GruesomeLarch má patriť do väčšej skupiny hackerských skupín riadených priamo ruskou spravodajskou službou. Spoločnosť, ktorej názov nebol v správe zverejnený, mala zjavne pre ruskú stranu disponovať kľúčovými dátami. Hackeri na ich získanie totiž využili nekonvenčný postup a dovtedy ešte nevyužitú zraniteľnosť.

Hackerská skupina v úvode útoku úspešne odcudzila prihlasovacie údaje niekoľkých zamestnancov spoločnosti, čím získala prístup k jej interným webovým službám. Tieto údaje však nebolo možné využiť na priamy prístup k hľadaným dátam, účty boli totiž chránené viacfaktorou autentifikáciou (MFA). Jedinou výnimkou, kedy na prístup k týmto aplikáciám nebola MFA potrebná, bol priamy prístup z lokálnej Wi-Fi spoločnosti v jej budove.

Keďže sa útočníci nachádzali na druhej strane planéty, nemohli sa k Wi-Fi sieti cielenej spoločnosti pripojiť priamo. Rozhodli sa preto preskúmať siete okolitých firiem, ktoré sídlia dostatočne blízko na to, aby zariadenia v nich ešte mohli chytať jej Wi-Fi sieť. Takýchto firiem sa im napokon podarilo nájsť hneď niekoľko. Pri útoku na zariadenie susednej spoločnosti využili zero-day zraniteľnosti služby Windows Print Spooler, ktorá bola zdokumentovaná následne v októbri toho roku.

Keď mali útočníci prístup do zariadenia vedľajšej spoločnosti, nezostávalo im už nič iné, než sa pomocou neho pripojiť k Wi-Fi sieti pôvodne cielenej spoločnosti. Medzi nimi a hľadanými dátami už následne nestálo vôbec nič. Forenzná kybernetická spoločnosť si všimla podozrivú aktivitu na svieti svojho klienta v momente, kedy už boli citlivé dáta exportované a prenášané zo serverov spoločnosti do rúk útočníkov.

Postup útočníkov bol nielen nekonvenčný, ale aj natoľko čistý, že sa dokázali vyhnúť detekcii bezpečnostnými nástrojmi. Na mapovanie Wi-Fi sietí, presmerovanie portov, zber citlivých dát, ich kompresiu a odoslanie, totiž použili takmer výhradne PowerShell scripty, čo je celkom legitímny nástroj bežne používaný správcami IT systémov vo firmách. Útočníci tak až do samotného záveru útoku nevyvolali v cielenej firme žiadne podozrenie a PowerShell script dokonca využili aj na následné zahladenie stôp, čo forenznej spoločnosti výrazne skomplikovalo vyšetrovanie.

Tento útok opäť ukázal, že ak má pre hackera obeť dostatočne vysokú cenu, skôr či neskôr nájde spôsob, ako do jej systémov preniknúť. Zároveň ide o dobrú pripomienku, že každá reťaz je len natoľko silná, aký je jej najslabší článok. Týmto článkom bol v tomto prípade predpoklad, že na Wi-Fi sieť nie je potrebné multi-faktorovú autentifikáciu aplikovať, pretože na sieť sa predsa môžu pripojiť iba útočníci v tesnej blízkosti…