กลุ่มแฮกเกอร์ไซเบอร์รัสเซีย APT28 ได้ดำเนินการโจมตีแบบ Nearest Neighbor Attack ซึ่งเป็นการเจาะระบบเครือข่าย Wi-Fi โดยใช้อาคารที่อยู่ฝั่งตรงข้ามกับเป้าหมายเป็นฐานในการโจมตี.
กลุ่มสายลับไซเบอร์รัสเซียถูกจับได้ว่าแทรกซึมเครือข่ายขององค์กรเป้าหมายผ่านการเชื่อมต่อ Wi-Fi โดยเจาะระบบของหน่วยงานที่อยู่ในอาคารฝั่งตรงข้าม
การโจมตีนี้ถูกค้นพบในปี 2022 โดยบริษัทความปลอดภัยทางไซเบอร์ Volexity ซึ่งระบุว่าเหยื่อคือ องค์กร A เหตุการณ์นี้เกิดขึ้นไม่นานก่อนที่รัสเซียจะบุกยูเครน โดยเป้าหมายของแฮกเกอร์ดูเหมือนจะเป็นการขโมยข้อมูลจากบุคคลที่มีความเชี่ยวชาญหรือทำโครงการที่เกี่ยวข้องกับยูเครนโดยตรง
สิ่งที่ทำให้การโจมตีครั้งนี้โดดเด่นคือการใช้เทคนิคใหม่ที่ Volexity ตั้งชื่อว่า Nearest Neighbor Attack
จากการสอบสวนของ Volexity พบว่า ผู้โจมตีสามารถเข้าถึงข้อมูลรับรองของบริการที่เชื่อมต่ออินเทอร์เน็ตขององค์กร A ผ่านวิธี password spraying แต่ไม่สามารถใช้งานข้อมูลดังกล่าวได้ เนื่องจากมีระบบ การยืนยันตัวตนแบบหลายขั้นตอน (Multi-Factor Authentication)
จากนั้นผู้โจมตีได้วางแผนโจมตีเครือข่ายขององค์กรอื่นซึ่งตั้งอยู่ในอาคารใกล้กับองค์กร A (เรียกว่า องค์กร B โดย Volexity) หลังจากแฮกเครือข่ายขององค์กร B ได้สำเร็จ พวกเขาพบอุปกรณ์ที่เชื่อมต่อกับเครือข่ายผ่านสาย Ethernet แต่ตัวอุปกรณ์นั้นมีตัวรับสัญญาณ Wi-Fi ด้วย ซึ่งผู้โจมตีใช้เชื่อมต่อกับเครือข่าย Wi-Fi ขององค์กร A ที่อยู่ฝั่งตรงข้ามถนน
นอกจากนี้ Volexity ยังพบหลักฐานว่า ผู้โจมตีได้เจาะระบบขององค์กรที่สามในพื้นที่ใกล้เคียง (เรียกว่า องค์กร C) ซึ่งถูกใช้เป็นฐานในการเชื่อมต่อผ่าน Wi-Fi ไปยังองค์กร B และองค์กร A ด้วย.
ผู้โจมตีลบไฟล์และโฟลเดอร์เพื่อปกปิดร่องรอย โดยใช้เครื่องมือ Cipher.exe ของ Microsoft
ผู้โจมตีใช้ Cipher.exe ซึ่งเป็นยูทิลิตี้ของ Microsoft เพื่อปกปิดร่องรอยจากการโจมตี นี่เป็นครั้งแรกที่ Volexity พบว่ามีการนำยูทิลิตี้นี้มาใช้ในลักษณะดังกล่าว
ในช่วงแรก Volexity พบความยากลำบากในการระบุว่าใครอยู่เบื้องหลังการโจมตี เนื่องจากผู้โจมตีใช้เทคนิค living-off-the-land ซึ่งอาศัยเครื่องมือหรือโปรแกรมที่มีอยู่ในระบบ ทำให้ยากต่อการตรวจจับและระบุตัวตน
อย่างไรก็ตาม ในเดือนเมษายน 2024 รายงานจาก Microsoft ที่เกี่ยวกับกลุ่มแฮกเกอร์รัสเซียชื่อ Forest Blizzard ได้เปิดเผยหลักฐานที่มีความเชื่อมโยงอย่างมีนัยสำคัญกับการโจมตีครั้งนี้
Forest Blizzard เป็นกลุ่มที่ถูกติดตามโดยชื่ออื่น เช่น APT28, Sofacy, Fancy Bear, และ GruesomeLarch (ชื่อที่ Volexity ใช้เรียก)
คำอธิบายจาก Volexity:
“การสอบสวนของ Volexity แสดงให้เห็นถึงความพยายาม ความคิดสร้างสรรค์ และทรัพยากรที่ผู้โจมตีมีเพื่อบรรลุเป้าหมายในด้านไซเบอร์จารกรรม การโจมตีแบบ Nearest Neighbor Attack ถือเป็นปฏิบัติการเข้าถึงเป้าหมายในระยะใกล้ แต่ผู้โจมตีไม่ต้องเสี่ยงต่อการถูกตรวจพบหรือถูกจับกุมในพื้นที่จริง การโจมตีนี้มอบประโยชน์เหมือนการอยู่ใกล้เป้าหมายทางกายภาพ แต่ผู้ปฏิบัติการสามารถอยู่ห่างออกไปหลายพันไมล์ได้”
คำแนะนำจาก Volexity:
“องค์กรควรพิจารณาความเสี่ยงที่เครือข่าย Wi-Fi อาจก่อให้เกิดต่อความปลอดภัยในการดำเนินงาน ในช่วงหลายปีที่ผ่านมา องค์กรจำนวนมากได้ให้ความสำคัญกับการลดช่องโหว่ของบริการที่เชื่อมต่ออินเทอร์เน็ตด้วยการใช้ MFA (Multi-Factor Authentication) หรือการปิดบริการเหล่านั้นโดยสิ้นเชิง อย่างไรก็ตาม เครือข่าย Wi-Fi อาจไม่ได้รับการดูแลด้วยความระมัดระวังในระดับเดียวกัน”
Credit:securityweek.com
