近日，網(wǎng)絡安全公司Volexity曝光了一起令人震驚的網(wǎng)絡攻擊事件，俄羅斯黑客組織APT28成功突破物理攻擊范圍，入侵了萬里之外的一家美國企業(yè)的Wi-Fi網(wǎng)絡。

據(jù)報道，2022年2月，美國首都華盛頓一家企業(yè)的WiFi網(wǎng)絡被發(fā)現(xiàn)遭遇了極不尋常的攻擊，這次攻擊被歸因于俄羅斯國家黑客組織APT28（亦稱Fancy Bear/Forest Blizzard/Sofacy），后者過一種名為“近鄰攻擊”的新技術，遠程入侵了該美國企業(yè)的WiFi網(wǎng)絡。此次事件暴露了企業(yè)WiFi網(wǎng)絡被忽視的致命盲區(qū)和漏洞，同時也展現(xiàn)了APT28不斷創(chuàng)新的攻擊方式。

APT28是隸屬于俄羅斯軍事情報總局（GRU）第26165部隊的黑客組織，早在2004年便開始活躍，主要攻擊目標是西方政府、軍事部門。

攻擊細節(jié)：從“鄰居”到目標的跳板式入侵

1.起點：WiFi網(wǎng)絡的密碼噴射攻擊

APT28首先通過對目標企業(yè)暴露在互聯(lián)網(wǎng)的服務進行密碼噴射攻擊，獲取了該企業(yè)WiFi網(wǎng)絡的訪問憑證。然而，由于企業(yè)實施了多因素認證（MFA），黑客無法通過公共網(wǎng)絡直接利用這些憑證訪問目標網(wǎng)絡。

2.創(chuàng)新策略：尋找“鄰居”作為跳板

遠隔萬里“蹭網(wǎng)”顯然存在難以逾越的物理距離問題，APT28采取了一種創(chuàng)造性策略。他們瞄準了目標企業(yè)附近建筑內(nèi)的其他企業(yè)，通過滲透這些企業(yè)的網(wǎng)絡設備進行跳板式入侵。黑客尋找具有“雙網(wǎng)連接”能力的設備（例如同時連接有線和無線網(wǎng)絡的筆記本電腦或路由器），以利用其無線網(wǎng)卡連接到目標企業(yè)的WiFi網(wǎng)絡。

3.實施：跳板攻擊與滲透

Volexity的調(diào)查顯示，APT28成功入侵了多個鄰近組織，并最終找到了一個設備，該設備能夠接入目標企業(yè)會議室附近的三個無線接入點（AP）。黑客通過遠程桌面連接（RDP）使用非特權賬戶進入目標網(wǎng)絡，逐步擴展其權限，最終能夠訪問關鍵系統(tǒng)并提取敏感數(shù)據(jù)。

技術手段：低調(diào)但高效

1.數(shù)據(jù)提取與腳本操作

黑客運行了名為“servtask.bat”的腳本，用以轉儲Windows注冊表中的關鍵數(shù)據(jù)（如SAM、安全性和系統(tǒng)信息），并將其壓縮為ZIP文件進行傳輸。這些信息為進一步的網(wǎng)絡滲透和數(shù)據(jù)竊取提供了基礎。

2.使用本地工具降低被發(fā)現(xiàn)風險

APT28主要依賴Windows自帶工具執(zhí)行操作，以減少其在受感染系統(tǒng)中的行為痕跡。這種低調(diào)的操作方式使得黑客在不觸發(fā)異常警報的情況下成功提取數(shù)據(jù)。

3.利用零日漏洞擴展權限

根據(jù)微軟今年4月的一份報告，APT28可能利用了Windows打印后臺處理服務中的一個零日漏洞（CVE-2022-38028）來提升其在目標網(wǎng)絡中的權限，從而運行關鍵的惡意負載。

“鄰居攻擊”帶來的啟示：物理安全邊界不存在了

APT28的“鄰居攻擊”顛覆了傳統(tǒng)近距離物理攻擊的概念，通常近距離物理攻擊要求攻擊者在目標附近，例如停車場等場所。但此次事件表明，通過利用跳板式策略，攻擊者能夠在遠程位置發(fā)動物理攻擊，同時規(guī)避被物理追蹤和識別的風險。

網(wǎng)絡安全防護的反思與建議

雖然近年來針對互聯(lián)網(wǎng)暴露設備的安全措施，如MFA和強密碼管理，已顯著提升，但WiFi網(wǎng)絡的安全性仍然是許多企業(yè)的薄弱環(huán)節(jié)。企業(yè)需將WiFi網(wǎng)絡視為與其他遠程訪問服務同等重要的安全防護對象。

針對APT28的攻擊模式，企業(yè)可以采取以下措施：

• 實施嚴格的WiFi訪問控制，例如基于設備認證的訪問策略。
• 配置網(wǎng)絡隔離，防止內(nèi)部設備同時連接無線和有線網(wǎng)絡。
• 定期監(jiān)控網(wǎng)絡流量，及時發(fā)現(xiàn)可疑行為。

企業(yè)需要從安全文化和技術雙管齊下，提高多層防護能力。結合行為分析和異常檢測工具更早發(fā)現(xiàn)類似攻擊，同時加強員工安全意識培訓，減少密碼噴射攻擊的成功率。