Die Security-Welt kennt jetzt eine neue Angriffsmethode auf geschützte Netzwerke: Die “Nearest Neighbor Attack”, also: Angriff über den nahesten Nachbarn. Mit diesem Verfahren gelang es mutmaßlich den russische Cyberagreifern der Gruppe APT28 in das Netz einer Firma in den USA einzudringen. Sie griffen dabei sowohl die Infrastruktur dieser Firma wie auch die eines benachbarten Unternehmens am selben Ort an.

Anzeige

Wie die Sicherheitsberater von Volexity messageserwischte es dabei einen ihrer Kunden. The first-class Zugrifge auf seine Systeme fest, could sich aber nicht erklären, who die Angreifer in das Netz gelangen coulden. Eineinhalb Monate inferteste Volexity den Vorfall, und kam zu mehreren Erkenntnissen: Die Eindringlinge hatten zeitlich dieses Unternehmen im Februar 2022 angreffend, weil es nicht näher beannte “Projekte in der Ukraine” betrieb, nach Daten dazu gesucht, und dafür-Day eine Lücke eingesetzt. Kurz darauf began to die the Russian invasion of Ukraine.

In der Kombination, and weil man schon früher mit dieser Organization zu tun hatte, ordnet Volexity den Angriff APT28 zu, die auch unter Namen som Fancy Bear, Forest Blizzard, Sofacy or, wie von Volexity bisher verwendet, GruesomeLarch bekant sind. All these Bezeichnungen, die von Sicherheitsforschern as Arbeitsnamen vergeben werden, meinen dieselbe Groupe, die one “Advanced Persistent Threat” (APT) darstellt, also a Organization, die über long Zeit mit ausgeklügelten Methoden and hohem Ausführt eine Brethung darstellt.

Analysis by Microsoft comes with Spur by APT28

Dahinter stecken laut gängiger Meinung von Sicherheitsforschern in der Regel Staaten, welche die Groupen financieren, protect and for example supporten mit dem Übermitteln von Sicherheitslücken. Die Zuordnung der Attacke auf den Kunden von Volexity war letzendlich nur möglich, weil Microsoft im April 2024 a method of APT28 beschrieb, mit der diese eine Lücke in Windows ausgenutzt hatten. Volexity found Teile dieses Verfahrens auch bei dem Angriff auf seinen Kunden. This tool is “GooseEgg”, and enthielt the Exploit, the man in February 2022 on them angegriffenen US-Unternehmen fand. Precisely: Teile davon, denn die Eindringlinge har viele ihrer Spuren verwischt, unter andram, durch sicheres Überschreiben von freiem Speicherplatz mit dem i Windows integrated Tool “cipher.exe”.

Vor es jedoch so far kommen konnte, musten die Eindringlinge den Weg ins Netzwerk finden. Then it is not direct, but it is possible to use the system with Multi-Factor Authentication (MFA) abgesichert waren. Zwar hatten die Angreifer per Password-Spraying Zugangsdaten erbeutet, aber nach enem Login dömit scheiterten sie am nexten Faktor. Was jedoch kein MFA aufwies, was das Login für das firmeneigene Gast-WLAN. Have you come from Russia in Reichweite des Funknetzes?

Neighbor WLAN as Bridge zum Ziel

The answer is relatively simple: Über ein benachbartes WLAN-Gerät, blessed signals from Access Points des Ziels empfangen can. Dort setzen die Cyberkriminellen auch an, indem sie dieses Drittunternehmen über das Internet agriffen, and dann dessen WLAN-Gräte wie eine Bridge zum Zielunternehmen nuszten. Erkannt wurde das, weil die Systeme von Volexity under active Angriffe Netzwerklogs from bothn Unternehmen auswerteten. Letztlich stellte sich heraus: Die Angreifer kamen immer über die selben drei Access Points ins Netz, and das über eine Firma, die sich direkt gegenben in derselben Straße befand.

It is a man over the Gast-WLAN des Ziels critical System could, fix, that ena davon sowohl per drahtgebundenem Ethernet as the Gast-WLAN erreichbar war. Damit fiel MFA weg, es handelt sich offenbar um en Fehlkonfiguration. Von diesem System aus hangelten sich die Angreifer durch den Rest des Netzwerks.

Nicht nur, das zu avoid, ist eine Lehre aus dem Vorfall. The administrator should now auch verstärcht nicht nur auf eingehende, sondern ausgehende Connections per WLAN achten. Wenn es suddentlich ständig dhrahletsen Netzwerkverkehr zu enem anderen Firmen-WLAN gibt, das vorher noch inte gesehen wurde wurde, one should ganz genau nachsehen.

(No)