„Nearest Neighbour Attack“: US-Unternehmen durch neuartigen Wi-Fi-Angriff gehackt
Entdeckt wurde der Angriff bereits im Februar 2022, als Sicherheitsexperten von Volexity einen kompromittierten Server bei einem Kunden fanden, dessen Arbeit mit der Ukraine zu tun hatte. Die Rekonstruktion des Angriffs ergab, dass die Angreifer sich wohl zunächst das WLAN-Passwort des Opfers über Passwort-Spraying-Attacken verschafft hatten. Da jedoch eine Multi-Faktor-Authentifizierung (MFA) dessen Verwendung über das Internet verhinderte, mussten die Hacker kreativ werden. Sie suchten also nach Organisationen innerhalb der WLAN-Reichweite des eigentlichen Opfers, in deren Netzwerk sich Dual-Home-Geräte befanden, die sowohl über eine kabelgebundene als auch über eine drahtlose Verbindung verfügen. Mit solch einem Router oder Laptop wäre es dann möglich, eine Verbindung zum WLAN des Opfers herzustellen, da sich das Gerät nicht über das Internet, sondern lokal einwählen und somit die MFA umgehen würde.
Die Sicherheitsexperten von Volexity fanden bei ihrer Untersuchung des Vorfalls heraus, dass ATP28 gleich mehrere Unternehmen im näheren Umkreis des eigentlichen Opfers kompromittiert hatte. So hatten Angreifer eine ganze Kette an Verbindungen mit gültigen Zugangsdaten geschaffen, bis sie schließlich ein Gerät fanden, das sich in der richtigen Entfernung zum eigentlichen Opfer befand, und sich mit Access-Punkten in dessen Netzwerk verbinden konnte. Mithilfe einer Remote-Desktop-Verbindung (RDP) von einem unprivilegierten Konto aus konnte sich die Angreifer dann im Zielnetzwerk bewegen, um nach interessanten Systemen zu suchen und Daten in ein ZIP-Archiv zu komprimieren und dann zu exfiltrieren. Dabei setzten sie vornehmlich systemeigene Windows-Tools ein, um möglichst wenig Spuren zu hinterlassen.
Zum Zeitpunkt des Angriffs vor über zwei Jahren konnten die Sicherheitsforscher den Angriff noch keinem bekannten Bedrohungsakteur zuordnen. Erst im April dieses Jahres führte ein Bericht von Microsoft die Sicherheitsexperten auf die Spur von ATP28. Ausgehend von den Details im Microsoft-Bericht ist es sehr wahrscheinlich, dass APT28 in der Lage war, ihre Privilegien zu erweitern, bevor sie kritische Daten ausführte, indem sie die Schwachstelle CVE-2022-38028 im Windows Print Spooler-Dienst im Netzwerk des Opfers als Zero-Day ausnutzte.
Der Angriff zeigt, dass auch Angriffe, die eigentlich die räumliche Nähe zum Opfer erfordern, mittlerweile aus der Ferne ausgeführt werden können. Und auch wenn die Sicherheitsvorkehrungen für internet-fähige Geräte immer besser werden, sollte man sich nicht in Sicherheit wiegen und Maßnahmen wie MFA konsequent auch für WLAN-Netzwerke innerhalb des Unternehmens anwenden.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
