去年在弗吉尼亚州阿灵顿举行的 2024 年网络战争大会上,发生了一起高度复杂的黑客事件,讲述了最大胆的攻击之一
在 2022 年与俄罗斯 GRU 有关的黑客精心策划的一次攻击中,一次高度先进的菊花链攻击利用邻近的 Wi-Fi 网络侵入了高价值目标的系统。
GruesomeLarch 黑客攻击是如何进行的
根据电脑发出蜂鸣声据称,该组织的黑客名为 GruesomeLarch,与臭名昭著的 Fancy Bear 有联系,并在传统方法失败后发起了攻击。他们的行动首先尝试在受害者员工使用的网络服务平台上进行撞库攻击。尽管他们成功破解了多个密码,但双因素身份验证 (2FA) 却阻碍了他们的进步。
意志坚定的攻击者以邻近建筑物中支持 Wi-Fi 的设备为目标,破坏这些设备以获取对目标网络的访问权限。
一个有趣的疏忽是,这些帐户在使用 2FA 的 Web 服务上受到保护,但没有在 Wi-Fi 网络上使用 2FA,这暴露了一个重要的安全漏洞。
利用零日漏洞
他们利用 Microsoft Windows 打印后台处理程序中未修补的零日漏洞成功控制了邻近设备。据报道,该漏洞于 2022 年初活跃,为他们提供了攻击之门。一旦进入其中一个相邻网络,他们就会对第二个相邻系统应用相同的策略,从而到达目标的主要 Wi-Fi 网络。
Volexity 的研究员兼总裁史蒂文·阿代尔 (Steven Adair) 在一封电子邮件中写道:“这是一次令人着迷的攻击,外国对手实质上是在距离很远的情况下进行了近距离访问操作。”
Adair 补充说,黑客能够进行攻击,并发现有一种技术可以在不被发现的情况下渗透 Wi-Fi。
2022 年网络漏洞的教训
应该指出的是,这一事件表明,一个安全疏忽——没有在 Wi-Fi 网络上实施 2FA——可能会破坏原本强大的防御。
技术艺术报告称,组织对基于邻近的攻击的假设通常是这种攻击发生的可能性较小,并且不必在内部网络上实施严格的安全强制措施。 GruesomeLarch 利用了这一差距,并使用先进的持久性技术战胜了防御。
APT 组织的威胁
GruesomeLarch 是更大的高级持续威胁 (APT) 组织的一部分,例如和 Fancy Bear,据称它们与 GRU 有关。这些威胁独特地集中于发现和利用漏洞,并持续对全球网络安全格局构成威胁。
随着互联网上发生的事情越来越多,每个网络都需要照顾 Wi-Fi。处理这些事情时应该有更严格的安全性,以消除安全威胁。
- 网络安全研究人员指出,组织需要采取以下步骤:
- 将 2FA 保护扩展到所有内部网络和内部 Wi-Fi。
- 定期应用软件补丁来修复漏洞,例如 Print Spooler 进程中的漏洞。
- 对关键系统进行邻近威胁评估。
- 培训员工识别和减轻撞库风险,以便他们能够直接解决问题。
