„Nearest Neighbour Attack“: US-Unternehmen durch neuartigen Wi-Fi-Angriff gehackt

Die russische Hackergruppe ATP28, auch bekannt als Fancy Bear, Forest Blizzard oder Sofacy, ist offenbar per WLAN in das Netzwerk eines US-Unternehmens eingedrungen – ohne dabei auch nur in die Nähe des Unternehmens zu kommen. Die Hacker nutzten dafür eine relativ neue Angriffstechnik namens „Nearest Neighbour Attack“, um sich aus tausenden Kilometern Entfernung Zugriff zu verschaffen. Dabei kompromittierten die Angreifer zunächst ein anderes Unternehmen im gleichen oder einem nahegelegenen Gebäude, das sich innerhalb der Reichweite des WLANs des eigentlichen Ziels befand.

Entdeckt wurde der Angriff bereits im Februar 2022, als Sicherheitsexperten von Volexity einen kompromittierten Server bei einem Kunden fanden, dessen Arbeit mit der Ukraine zu tun hatte. Die Rekonstruktion des Angriffs ergab, dass die Angreifer sich wohl zunächst das WLAN-Passwort des Opfers über Passwort-Spraying-Attacken verschafft hatten. Da jedoch eine Multi-Faktor-Authentifizierung (MFA) dessen Verwendung über das Internet verhinderte, mussten die Hacker kreativ werden. Sie suchten also nach Organisationen innerhalb der WLAN-Reichweite des eigentlichen Opfers, in deren Netzwerk sich Dual-Home-Geräte befanden, die sowohl über eine kabelgebundene als auch über eine drahtlose Verbindung verfügen. Mit solch einem Router oder Laptop wäre es dann möglich, eine Verbindung zum WLAN des Opfers herzustellen, da sich das Gerät nicht über das Internet, sondern lokal einwählen und somit die MFA umgehen würde.

Die Sicherheitsexperten von Volexity fanden bei ihrer Untersuchung des Vorfalls heraus, dass ATP28 gleich mehrere Unternehmen im näheren Umkreis des eigentlichen Opfers kompromittiert hatte. So hatten Angreifer eine ganze Kette an Verbindungen mit gültigen Zugangsdaten geschaffen, bis sie schließlich ein Gerät fanden, das sich in der richtigen Entfernung zum eigentlichen Opfer befand, und sich mit Access-Punkten in dessen Netzwerk verbinden konnte. Mithilfe einer Remote-Desktop-Verbindung (RDP) von einem unprivilegierten Konto aus konnte sich die Angreifer dann im Zielnetzwerk bewegen, um nach interessanten Systemen zu suchen und Daten in ein ZIP-Archiv zu komprimieren und dann zu exfiltrieren. Dabei setzten sie vornehmlich systemeigene Windows-Tools ein, um möglichst wenig Spuren zu hinterlassen.

Zum Zeitpunkt des Angriffs vor über zwei Jahren konnten die Sicherheitsforscher den Angriff noch keinem bekannten Bedrohungsakteur zuordnen. Erst im April dieses Jahres führte ein Bericht von Microsoft die Sicherheitsexperten auf die Spur von ATP28. Ausgehend von den Details im Microsoft-Bericht ist es sehr wahrscheinlich, dass APT28 in der Lage war, ihre Privilegien zu erweitern, bevor sie kritische Daten ausführte, indem sie die Schwachstelle CVE-2022-38028 im Windows Print Spooler-Dienst im Netzwerk des Opfers als Zero-Day ausnutzte.

Der Angriff zeigt, dass auch Angriffe, die eigentlich die räumliche Nähe zum Opfer erfordern, mittlerweile aus der Ferne ausgeführt werden können. Und auch wenn die Sicherheitsvorkehrungen für internet-fähige Geräte immer besser werden, sollte man sich nicht in Sicherheit wiegen und Maßnahmen wie MFA konsequent auch für WLAN-Netzwerke innerhalb des Unternehmens anwenden.

Über die 8com GmbH & Co. KG

Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.

8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel