情境示意图,由DALL-E 3模型生成。
资安业者Volexity上周揭露了俄罗斯骇客组织APT28一起精心设计的攻击行动「Nearest Neighbor Attack」,由于APT28打算要攻击的A组织在各个公共服务采用了多因素身分验证(MFA),使得APT28最终选择攻陷A组织的各个邻居,再借由邻居的电脑入侵A组织未执行MFA的Wi-Fi网路。
这起攻击事件发生在2022年2月,正巧是俄罗斯入侵乌克兰的前夕,APT28的目的是搜集A组织中涉及乌克兰的个人或专案资料。
调查发现,APT28先针对A组织的对外服务发动密码泼洒攻击,尽管已经取得了帐号及密码,却无法通过这些服务的多因素身分验证,于是转向较少采用MFA的Wi-Fi网路,然而,APT28与A组织之间有半个地球的距离,使得APT28决定从A组织的邻居们著手。
APT28成功入侵了A组织附近的多个组织,这些组织的办公室离A组织很近,而且可以连到A组织的Wi-Fi 网路,在控制其邻居的某台电脑之后,就能以已知的凭证登入A组织的Wi-Fi 网路。
APT28的手法既复杂且精细,它们破坏了A组织附近的至少2个组织,以便串连使用这些组织的Wi-Fi网路及VPN连线,最终成功渗透到A组织的网路。
Volexity指出,此一攻击展现了物理上的邻近性,如何成为网路渗透的重要工具,企业需要重新审视Wi-Fi网路的安全性,并采取更严格的控制措施,建议组织可以实施Wi-Fi 的MFA验证,或是分隔Wi-Fi 网路及乙太网路,强化日志纪录,以及监控异常行为。