Шпионы взломали сети Wi-Fi в далекой стране, чтобы атаковать цель по соседству
Преследуя свою цель, GruesomeLarch осуществила атаки с подстановкой учетных данных, в результате которых были скомпрометированы пароли нескольких учетных записей на платформе веб-сервисов, используемой сотрудниками организации. Однако двухфакторная аутентификация, введенная на платформе, не позволила злоумышленникам скомпрометировать учетные записи.
Таким образом, GruesomeLarch обнаружил устройства в физически соседних местах, скомпрометировал их и использовал для проверки сети Wi-Fi цели. Оказалось, что учетные данные взломанных учетных записей веб-сервисов также работают и для учетных записей в сети Wi-Fi, только 2FA не требуется.
Еще больше приумножив эффект, злоумышленники взломали одно из соседних устройств с поддержкой Wi-Fi, воспользовавшись тем, что в начале 2022 года считалось уязвимостью нулевого дня в диспетчере очереди печати Microsoft Windows.
Взлом 2022 года демонстрирует, как одно ошибочное предположение может разрушить эффективную защиту. По какой-то причине (вероятно, из-за предположения, что 2FA в сети Wi-Fi не нужна, поскольку атаки требуют непосредственной близости) цель развернула 2FA на платформе веб-сервисов, подключающихся к Интернету (Adair не сообщает какой тип), но не на Wi-Fi. Фи сеть. Эта единственная оплошность в конечном итоге подорвала надежную практику обеспечения безопасности.
Группы продвинутых постоянных угроз, такие как GruesomeLarch — часть гораздо более крупной APT ГРУ с такими названиями, как Fancy Bear, APT28, Forrest Blizzard и Sofacy — преуспевают в обнаружении и использовании подобных упущений.
Сообщение Volixity, описывающее атаку 2022 года, содержит множество технических подробностей о компрометации многих звеньев в этом сложном последовательном потоке атак. Также есть полезные советы по защите сетей от такого рода угроз.
