去年在維吉尼亞州阿靈頓舉行的 2024 年網路戰爭大會上,發生了一起高度複雜的駭客事件,講述了最大膽的攻擊之一
在 2022 年與俄羅斯 GRU 有關的駭客精心策劃的一次攻擊中,一次高度先進的菊花鏈攻擊利用鄰近的 Wi-Fi 網路侵入了高價值目標的系統。
GruesomeLarch 駭客攻擊是如何進行的
根據電腦發出蜂鳴聲據稱,該組織的駭客名為 GruesomeLarch,與臭名昭著的 Fancy Bear 有聯繫,並在傳統方法失敗後發動了攻擊。他們的行動首先嘗試在受害者員工使用的網路服務平台上進行撞庫攻擊。儘管他們成功破解了多個密碼,但雙重認證 (2FA) 卻阻礙了他們的進步。
意志堅定的攻擊者以鄰近建築物中支援 Wi-Fi 的設備為目標,破壞這些設備以獲取對目標網路的存取權限。
一個有趣的疏忽是,這些帳戶在使用 2FA 的 Web 服務上受到保護,但沒有在 Wi-Fi 網路上使用 2FA,這暴露了一個重要的安全漏洞。
利用零日漏洞
他們利用 Microsoft Windows 列印後台處理程序中未修補的零日漏洞成功控制了鄰近裝置。據報道,漏洞於 2022 年初活躍,為他們提供了攻擊之門。一旦進入其中一個相鄰網絡,他們就會對第二個相鄰系統應用相同的策略,從而到達目標的主要 Wi-Fi 網路。
Volexity 的研究員兼總裁 Steven Adair 在一封電子郵件中寫道:「這是一次令人著迷的攻擊,外國對手實質上是在距離很遠的情況下進行了近距離訪問操作。
Adair 補充說,駭客能夠進行攻擊,並發現有一種技術可以在不被發現的情況下滲透 Wi-Fi。
2022 網路漏洞的教訓
應該指出的是,這一事件表明,一個安全疏忽——沒有在 Wi-Fi 網路上實施 2FA——可能會破壞原本強大的防禦。
技術藝術報告稱,組織對基於鄰近的攻擊的假設通常是這種攻擊的可能性較小,並且不必在內部網路上實施嚴格的安全強制措施。 GruesomeLarch 利用了這一差距,並使用先進的持久性技術戰勝了防禦。
APT 組織的威脅
GruesomeLarch 是更大的進階持續性威脅 (APT) 組織的一部分,例如和 Fancy Bear,據稱它們與 GRU 有關。這些威脅獨特地集中在發現和利用漏洞,並對全球網路安全格局持續構成威脅。
隨著網路上發生的事情越來越多,每個網路都需要照顧 Wi-Fi。處理這些事情時應該有更嚴格的安全性,以消除安全威脅。
- 網路安全研究人員指出,組織需要採取以下步驟:
- 將 2FA 保護擴展到所有內部網路和內部 Wi-Fi。
- 定期應用軟體修補程式來修復漏洞,例如 Print Spooler 進程中的漏洞。
- 對關鍵系統進行鄰近威脅評估。
- 訓練員工識別和減輕撞庫風險,以便他們能夠直接解決問題。
