เหตุการณ์การแฮ็กที่มีความซับซ้อนสูงซึ่งเกิดขึ้นเมื่อปีที่แล้วในการประชุม Cyberwarcon ปี 2024 ในเมืองอาร์ลิงตัน รัฐเวอร์จิเนีย เล่าถึงการโจมตีที่รุนแรงที่สุดครั้งหนึ่งโดย
ในการละเมิดข้อมูลในปี 2022 ซึ่งแฮกเกอร์เชื่อมโยงกับ GRU ของรัสเซีย การโจมตีแบบเดซี่เชนขั้นสูงได้ใช้ประโยชน์จากเครือข่าย Wi-Fi ที่อยู่ใกล้เคียงเพื่อเจาะเข้าสู่ระบบของเป้าหมายที่มีมูลค่าสูง
การแฮ็ก GruesomeLarch ดำเนินไปอย่างไร
ตามคอมพิวเตอร์ส่งเสียงบี๊บแฮ็กเกอร์ที่ถูกกล่าวหาว่าเป็นกลุ่มที่เรียกว่า GruesomeLarch มีความผูกพันกับแฟนซีแบร์ผู้โด่งดังและได้ทำการโจมตีหลังจากวิธีการแบบเดิมล้มเหลว การดำเนินการของพวกเขาเริ่มต้นด้วยความพยายามในการกรอกข้อมูลประจำตัวบนแพลตฟอร์มบริการเว็บที่พนักงานของเหยื่อใช้ แม้ว่าพวกเขาจะจัดการรหัสผ่านหลายอันได้ แต่ความก้าวหน้าของพวกเขาก็ถูกขัดขวางโดยการรับรองความถูกต้องด้วยสองปัจจัย (2FA)
ผู้โจมตีที่กำหนดโดยกำหนดเป้าหมายอุปกรณ์ที่เปิดใช้งาน Wi-Fi ในอาคารที่อยู่ติดกัน โจมตีอุปกรณ์เหล่านี้เพื่อเข้าถึงเครือข่ายของเป้าหมาย
ในการกำกับดูแลที่น่าสนใจ บัญชีได้รับการปกป้องบนเว็บเซอร์วิสโดยใช้ 2FA แต่ไม่ได้ใช้ 2FA บนเครือข่าย Wi-Fi ซึ่งเผยให้เห็นช่องโหว่ด้านความปลอดภัยที่สำคัญ
การใช้ประโยชน์จากช่องโหว่ Zero-Day
พวกเขาสามารถควบคุมอุปกรณ์ข้างเคียงได้โดยใช้ช่องโหว่แบบ Zero-day ที่ยังไม่ได้แพตช์ใน Print Spooler ของ Microsoft Windows ช่องโหว่นี้รายงานว่าใช้งานได้ในช่วงต้นปี 2022 และเปิดโอกาสให้พวกเขาโจมตีได้ เมื่อเข้าไปในเครือข่ายใกล้เคียงแล้ว พวกเขาใช้กลยุทธ์เดียวกันกับระบบที่สองที่อยู่ติดกัน จึงเข้าถึงเครือข่าย Wi-Fi หลักของเป้าหมายได้
“นี่เป็นการโจมตีที่น่าทึ่ง โดยศัตรูจากต่างประเทศได้ดำเนินการเข้าถึงอย่างใกล้ชิดโดยที่อยู่ห่างออกไปพอสมควร” สตีเวน อแดร์ นักวิจัยและประธานของ Volexity เขียนในอีเมล
Adair เสริมว่าแฮกเกอร์สามารถโจมตีและค้นพบว่ามีเทคนิคในการแทรกซึม Wi-Fi โดยไม่ถูกจับได้
บทเรียนจากการละเมิดทางไซเบอร์ปี 2022
ควรสังเกตว่าเหตุการณ์นี้แสดงให้เห็นว่าการกำกับดูแลความปลอดภัยครั้งหนึ่ง (ซึ่งไม่ได้ใช้งาน 2FA บนเครือข่าย Wi-Fi) สามารถยกเลิกการป้องกันที่แข็งแกร่งได้อย่างไร
อาท เทคนิคิการายงานว่าสมมติฐานขององค์กรเกี่ยวกับการโจมตีตามความใกล้ชิดมักจะมีโอกาสน้อยกว่าและไม่จำเป็นต้องบังคับใช้การบังคับใช้ความปลอดภัยที่เข้มงวดบนเครือข่ายภายใน GruesomeLarch ใช้ประโยชน์จากช่องว่างนั้นและเอาชนะการป้องกันโดยใช้เทคนิคการคงอยู่ขั้นสูง
ภัยคุกคามของกลุ่ม APT
GruesomeLarch เป็นส่วนหนึ่งของกลุ่มที่ใหญ่กว่าของกลุ่ม Advanced Persistent Threat (APT) เช่นและแฟนซีแบร์ซึ่งถูกกล่าวหาว่าเชื่อมโยงกับ GRU ภัยคุกคามเหล่านี้มุ่งเน้นไปที่การค้นหาและใช้ประโยชน์จากจุดอ่อนโดยเฉพาะ และยังคงเป็นภัยคุกคามต่อภูมิทัศน์ความปลอดภัยทางไซเบอร์ทั่วโลกอย่างต่อเนื่อง
เนื่องจากมีหลายสิ่งหลายอย่างเกิดขึ้นบนอินเทอร์เน็ต ทุกเครือข่ายจึงจำเป็นต้องดูแล Wi-Fi ควรมีความปลอดภัยที่เข้มงวดมากขึ้นเมื่อจัดการสิ่งเหล่านี้เพื่อกำจัดภัยคุกคามด้านความปลอดภัย
- นักวิจัยด้านความปลอดภัยทางไซเบอร์ทราบว่าองค์กรต่างๆ จำเป็นต้องดำเนินการตามขั้นตอนต่อไปนี้:
- ขยายการป้องกัน 2FA ทั่วทั้งเครือข่ายภายในและ Wi-Fi ภายในทั้งหมด
- ใช้ซอฟต์แวร์แก้ไขเป็นประจำเพื่อหาช่องโหว่ เช่นเดียวกับที่อยู่ในกระบวนการ Print Spooler
- ดำเนินการประเมินภัยคุกคามบริเวณใกล้เคียงสำหรับระบบที่สำคัญ
- ฝึกอบรมพนักงานให้รับรู้และลดความเสี่ยงในการเติมข้อมูลประจำตัว เพื่อให้พวกเขาสามารถแก้ไขปัญหาได้โดยตรง
