Die russische Hackergruppe ATP28, auch bekannt als Fancy Bear, Forest Blizzard oder Sofacy, ist offenbar per WLAN in das Netzwerk eines US-Unternehmens eingedrungen - ohne dabei auch nur in die Nähe des Unternehmens zu kommen. Die Hacker nutzten dafür eine relativ neue Angriffstechnik namens „Nearest Neighbour Attack“, um sich aus tausenden Kilometern Entfernung Zugriff zu verschaffen. Dabei kompromittierten die Angreifer zunächst ein anderes Unternehmen im gleichen oder einem nahegelegenen Gebäude, das sich innerhalb der Reichweite des WLANs des eigentlichen Ziels befand.
Entdeckt wurde der Angriff bereits im Februar 2022, als Sicherheitsexperten von Volexity einen kompromittierten Server bei einem Kunden fanden, dessen Arbeit mit der Ukraine zu tun hatte. Die Rekonstruktion des Angriffs ergab, dass die Angreifer sich wohl zunächst das WLAN-Passwort des Opfers über Passwort-Spraying-Attacken verschafft hatten. Da jedoch eine Multi-Faktor-Authentifizierung (MFA) dessen Verwendung über das Internet verhinderte, mussten die Hacker kreativ werden. Sie suchten also nach Organisationen innerhalb der WLAN-Reichweite des eigentlichen Opfers, in deren Netzwerk sich Dual-Home-Geräte befanden, die sowohl über eine kabelgebundene als auch über eine drahtlose Verbindung verfügen. Mit solch einem Router oder Laptop wäre es dann möglich, eine Verbindung zum WLAN des Opfers herzustellen, da sich das Gerät nicht über das Internet, sondern lokal einwählen und somit die MFA umgehen würde.
Die Sicherheitsexperten von Volexity fanden bei ihrer Untersuchung des Vorfalls heraus, dass ATP28 gleich mehrere Unternehmen im näheren Umkreis des eigentlichen Opfers kompromittiert hatte. So hatten Angreifer eine ganze Kette an Verbindungen mit gültigen Zugangsdaten geschaffen, bis sie schließlich ein Gerät fanden, das sich in der richtigen Entfernung zum eigentlichen Opfer befand, und sich mit Access-Punkten in dessen Netzwerk verbinden konnte. Mithilfe einer Remote-Desktop-Verbindung (RDP) von einem unprivilegierten Konto aus konnte sich die Angreifer dann im Zielnetzwerk bewegen, um nach interessanten Systemen zu suchen und Daten in ein ZIP-Archiv zu komprimieren und dann zu exfiltrieren. Dabei setzten sie vornehmlich systemeigene Windows-Tools ein, um möglichst wenig Spuren zu hinterlassen.
Zum Zeitpunkt des Angriffs vor über zwei Jahren konnten die Sicherheitsforscher den Angriff noch keinem bekannten Bedrohungsakteur zuordnen. Erst im April dieses Jahres führte ein Bericht von Microsoft die Sicherheitsexperten auf die Spur von ATP28. Ausgehend von den Details im Microsoft-Bericht ist es sehr wahrscheinlich, dass APT28 in der Lage war, ihre Privilegien zu erweitern, bevor sie kritische Daten ausführte, indem sie die Schwachstelle CVE-2022-38028 im Windows Print Spooler-Dienst im Netzwerk des Opfers als Zero-Day ausnutzte.
Der Angriff zeigt, dass auch Angriffe, die eigentlich die räumliche Nähe zum Opfer erfordern, mittlerweile aus der Ferne ausgeführt werden können. Und auch wenn die Sicherheitsvorkehrungen für internet-fähige Geräte immer besser werden, sollte man sich nicht in Sicherheit wiegen und Maßnahmen wie MFA konsequent auch für WLAN-Netzwerke innerhalb des Unternehmens anwenden.
Entdeckt wurde der Angriff bereits im Februar 2022, als Sicherheitsexperten von Volexity einen kompromittierten Server bei einem Kunden fanden, dessen Arbeit mit der Ukraine zu tun hatte. Die Rekonstruktion des Angriffs ergab, dass die Angreifer sich wohl zunächst das WLAN-Passwort des Opfers über Passwort-Spraying-Attacken verschafft hatten. Da jedoch eine Multi-Faktor-Authentifizierung (MFA) dessen Verwendung über das Internet verhinderte, mussten die Hacker kreativ werden. Sie suchten also nach Organisationen innerhalb der WLAN-Reichweite des eigentlichen Opfers, in deren Netzwerk sich Dual-Home-Geräte befanden, die sowohl über eine kabelgebundene als auch über eine drahtlose Verbindung verfügen. Mit solch einem Router oder Laptop wäre es dann möglich, eine Verbindung zum WLAN des Opfers herzustellen, da sich das Gerät nicht über das Internet, sondern lokal einwählen und somit die MFA umgehen würde.
Die Sicherheitsexperten von Volexity fanden bei ihrer Untersuchung des Vorfalls heraus, dass ATP28 gleich mehrere Unternehmen im näheren Umkreis des eigentlichen Opfers kompromittiert hatte. So hatten Angreifer eine ganze Kette an Verbindungen mit gültigen Zugangsdaten geschaffen, bis sie schließlich ein Gerät fanden, das sich in der richtigen Entfernung zum eigentlichen Opfer befand, und sich mit Access-Punkten in dessen Netzwerk verbinden konnte. Mithilfe einer Remote-Desktop-Verbindung (RDP) von einem unprivilegierten Konto aus konnte sich die Angreifer dann im Zielnetzwerk bewegen, um nach interessanten Systemen zu suchen und Daten in ein ZIP-Archiv zu komprimieren und dann zu exfiltrieren. Dabei setzten sie vornehmlich systemeigene Windows-Tools ein, um möglichst wenig Spuren zu hinterlassen.
Zum Zeitpunkt des Angriffs vor über zwei Jahren konnten die Sicherheitsforscher den Angriff noch keinem bekannten Bedrohungsakteur zuordnen. Erst im April dieses Jahres führte ein Bericht von Microsoft die Sicherheitsexperten auf die Spur von ATP28. Ausgehend von den Details im Microsoft-Bericht ist es sehr wahrscheinlich, dass APT28 in der Lage war, ihre Privilegien zu erweitern, bevor sie kritische Daten ausführte, indem sie die Schwachstelle CVE-2022-38028 im Windows Print Spooler-Dienst im Netzwerk des Opfers als Zero-Day ausnutzte.
Der Angriff zeigt, dass auch Angriffe, die eigentlich die räumliche Nähe zum Opfer erfordern, mittlerweile aus der Ferne ausgeführt werden können. Und auch wenn die Sicherheitsvorkehrungen für internet-fähige Geräte immer besser werden, sollte man sich nicht in Sicherheit wiegen und Maßnahmen wie MFA konsequent auch für WLAN-Netzwerke innerhalb des Unternehmens anwenden.
