Trotz riesiger Entfernung: Russische Hacker attackieren US-Unternehmen per Wi-Fi
Der russischen Hackergruppe ATP28, auch bekannt als Fancy Bear oder Forest Blizzard, ist es trotz ihres Aufenthalts in einer Entfernung von mehreren tausend Kilometern gelungen, per Wi-Fi in das Netzwerk eines Unternehmens in den USA einzudringen. Um ihr Ziel zu erreichen, attackierten sie zunächst Geräte in nahegelegenen Gebäuden, die zwar nicht zum Zielunternehmen gehörten, sich aber in dessen WLAN-Reichweite befanden.
Entdeckt wurde der Angriff von Sicherheitsforschern von Volexity, die die Angriffsmethodik in einem Blogbeitrag(öffnet im neuen Fenster) als "Nearest Neighbour Attack" bezeichnen. Der Grund für den ungewöhnlichen Angriffsweg lag demnach in der Multi-Faktor-Authentifizierung (MFA), die das Zielunternehmen implementiert hatte.
So konnten sich die Angreifer zwar per Password-Spraying Zugangsdaten verschaffen, erhielten aufgrund der MFA aber trotzdem keinen Zugriff auf das Netzwerk. Das WLAN war jedoch ein Schwachpunkt, denn dort wurden neben Nutzernamen und Passwörtern keine weiteren Authentifizierungsfaktoren abgefragt. Per Wi-Fi ließen sich die erbeuteten Zugangsdaten also nutzen, um direkt auf das Firmennetzwerk zuzugreifen.
Angriff aus der Nachbarschaft
Da APT28 sehr weit von dem Zielunternehmen entfernt war, konnte sich die Gruppe gewiss nicht direkt per WLAN verbinden. Also machten sich die Angreifer daran, mehrere andere Organisationen zu attackieren, die Gebäude in der Nähe des Zielunternehmens hatten. Innerhalb der jeweiligen Netzwerke suchte APT28 anschließend nach WLAN-fähigen Endgeräten, die das anvisierte Wi-Fi-Signal empfangen konnten, um sich darüber den gewünschten Zugang zu verschaffen.
Aufgrund der hohen Komplexität des Angriffs konnten die Volexity-Forscher ihre schon im Februar 2022 gemachten Beobachtungen lange keiner bekannten Hackergruppe zuordnen. Jedoch fanden sie später gewisse Überschneidungen mit Angaben in einem Microsoft-Bericht von April 2024(öffnet im neuen Fenster) , in dem Angriffe von APT28 unter Ausnutzung eines alten Print-Spooler-Bug in Windows analysiert wurden. Somit konnte Volexity seine Entdeckungen ebenfalls auf diese Gruppe zurückführen.
Laut Microsoft ist APT28 mit der Einheit 26165 des russischen Militärgeheimdienstes verbunden. Auch hierzulande ist die Gruppe bekannt: Sie wurde in der Vergangenheit unter anderem für Angriffe auf den Deutschen Bundestag , das Kommunikationsnetz der Bundesregierung sowie die Deutsche Flugsicherung verantwortlich gemacht.
Entdecke während der Black Week exklusive Rabatte auf IT-Sicherheitskurse und E-Learnings in der Golem Karrierewelt. Von praxisnahen Workshops zu Cybersecurity und Zero Trust mit 40 Prozent Preisnachlass bis hin zu E-Learning-Paketen mit bis zu 70 Prozent Rabatt - jetzt Wissen ausbauen und sparen!