Nova pretnja za WiFi mreže: Rusi hakuju zahvaljujući novoj, "susedskoj" metodi!
Zloglasna ruska APT grupa Fancy Bear nedavno je upala u mrežu jedne američke kompanije koristeći novi metod napada koji su stručnjaci za sajber bezbednost nazvali napadom na „najbližeg suseda“.
Ovaj metod napada može se koristi za daljinsku infiltraciju u mrežu ciljne organizacije kompromitovanjem WiFi mreže u njenoj neposrednoj blizini.
Iz perspektive bezbednosti, WiFi mreže se obično doživljavaju kao nešto čemu se može pristupiti samo lokalno, i da bi se povezao sa njima, napadač mora biti fizički blizu pristupne tačke.
Ovo značajno ograničava njihovu upotrebu u napadima na organizacije, pa se na njih gleda kao na relativno bezbedne. Međutim, nova taktika napada pokazuje da ova percepcija nije sasvim tačna, kažu istraživači kompanije Kaspersky koji su analizirali ovaj napad.
Čak i WiFi mreža dobro branjene organizacije može postati ulazna tačka za udaljene napadače ako prvo kompromituju drugu, ranjiviju kompaniju koja se nalazi u istoj ili susednoj zgradi.
Recimo da grupa napadača planira da hakuje neku kompaniju. Oni mogu da prikupljaju informacije o toj kompaniji ili čak da pronađu lozinke zaposlenih u bazama ukradenih podataka. Ali ako ne nađu ranjivost koja bi se mogla iskoristiti, i ako su svi eksterni resursi koje koristi kompanija zaštićeni dvofaktorskom autentifikacijom, same lozinke nisu dovoljne.
Jedna od potencijalnih metoda penetracije može biti korporativna Wi-Fi mreža, kojoj bi hakeri mogli da pristupe koristeći te iste lozinke zaposlenih. Ovo posebno važi ako organizacija ima gost Wi-Fi mrežu koja nije dovoljno izolovana od glavne mreže - za takve mreže retko se koristi dvofaktorska autentifikacija. Međutim, postoji problem: napadači su, recimo, na drugoj strani sveta i ne mogu fizički da se povežu na kancelarijski Wi-Fi.
Ovde bi se mogla primeniti tehnika napada na najbližeg suseda. Ako napadači sprovedu dodatno istraživanje, možda će otkriti druge kompanije čije se kancelarije nalaze u dometu Wi-Fi signala ciljne kompanije. I moguće je da su neke od tih susednih kompanija znatno ranjivije od prvobitne mete napadača.
Možda ove kompanije veruju da je njihovo poslovanje manje interesantno hakerima pa primenjuju nedovoljne mere zaštite. Na primer, možda ne koriste dvofaktorsku autentifikaciju za svoje spoljne resurse. Ili možda ne ažuriraju svoj softver u najkraćem mogućem roku, ostavljajući ranjivosti koje je lako iskoristiti.
Na ovaj ili onaj način, napadačima je lakše da dobiju pristup mreži jedne od ovih susednih kompanija. Zatim treba da pronađu u infrastrukturi suseda uređaj povezan na žičanu mrežu, sa bežičnim modulom i kompromituju ga. Skeniranjem Wi-Fi okruženja preko takvog uređaja, napadači mogu locirati SSID mreže ciljne kompanije.
Koristeći kompromitovani uređaj komšijske kompanije kao most, napadači mogu da se povežu na korporativnu Wi-Fi mrežu svoje stvarne mete. Pošto su ostvarili svoj cilj, napadači mogu da nastave sa krađom informacija, šifrovanjem podataka, praćenjem aktivnosti zaposlenih i još mnogo toga.
S obzirom da je ovu taktiku već koristila najmanje jedna APT grupa, ovo nije samo teoretska pretnja. Organizacije koje bi mogle biti meta ovakvih napada trebalo bi da počnu da tretiraju bezbednost svojih WiFi mreža jednako ozbiljno kao i bezbednost svojih resursa povezanih na internet.
Izvor: Informacija/Kurir/DarkoMulic