近日，網(wǎng)絡(luò)安全公司Volexity曝光了一起令人震驚的網(wǎng)絡(luò)攻擊事件，俄羅斯黑客組織APT28成功突破物理攻擊范圍，入侵了萬里之外的一家美國企業(yè)的Wi-Fi網(wǎng)絡(luò)。

據(jù)報(bào)道，2022年2月，美國首都華盛頓一家企業(yè)的WiFi網(wǎng)絡(luò)被發(fā)現(xiàn)遭遇了極不尋常的攻擊，這次攻擊被歸因于俄羅斯國家黑客組織APT28（亦稱Fancy Bear/Forest Blizzard/Sofacy），后者過一種名為“近鄰攻擊”的新技術(shù)，遠(yuǎn)程入侵了該美國企業(yè)的WiFi網(wǎng)絡(luò)。此次事件暴露了企業(yè)WiFi網(wǎng)絡(luò)被忽視的致命盲區(qū)和漏洞，同時(shí)也展現(xiàn)了APT28不斷創(chuàng)新的攻擊方式。

APT28是隸屬于俄羅斯軍事情報(bào)總局（GRU）第26165部隊(duì)的黑客組織，早在2004年便開始活躍，主要攻擊目標(biāo)是西方政府、軍事部門。

攻擊細(xì)節(jié)：從“鄰居”到目標(biāo)的跳板式入侵

1.起點(diǎn)：WiFi網(wǎng)絡(luò)的密碼噴射攻擊

APT28首先通過對(duì)目標(biāo)企業(yè)暴露在互聯(lián)網(wǎng)的服務(wù)進(jìn)行密碼噴射攻擊，獲取了該企業(yè)WiFi網(wǎng)絡(luò)的訪問憑證。然而，由于企業(yè)實(shí)施了多因素認(rèn)證（MFA），黑客無法通過公共網(wǎng)絡(luò)直接利用這些憑證訪問目標(biāo)網(wǎng)絡(luò)。

2.創(chuàng)新策略：尋找“鄰居”作為跳板

遠(yuǎn)隔萬里“蹭網(wǎng)”顯然存在難以逾越的物理距離問題，APT28采取了一種創(chuàng)造性策略。他們瞄準(zhǔn)了目標(biāo)企業(yè)附近建筑內(nèi)的其他企業(yè)，通過滲透這些企業(yè)的網(wǎng)絡(luò)設(shè)備進(jìn)行跳板式入侵。黑客尋找具有“雙網(wǎng)連接”能力的設(shè)備（例如同時(shí)連接有線和無線網(wǎng)絡(luò)的筆記本電腦或路由器），以利用其無線網(wǎng)卡連接到目標(biāo)企業(yè)的WiFi網(wǎng)絡(luò)。

3.實(shí)施：跳板攻擊與滲透

Volexity的調(diào)查顯示，APT28成功入侵了多個(gè)鄰近組織，并最終找到了一個(gè)設(shè)備，該設(shè)備能夠接入目標(biāo)企業(yè)會(huì)議室附近的三個(gè)無線接入點(diǎn)（AP）。黑客通過遠(yuǎn)程桌面連接（RDP）使用非特權(quán)賬戶進(jìn)入目標(biāo)網(wǎng)絡(luò)，逐步擴(kuò)展其權(quán)限，最終能夠訪問關(guān)鍵系統(tǒng)并提取敏感數(shù)據(jù)。

技術(shù)手段：低調(diào)但高效

1.數(shù)據(jù)提取與腳本操作

黑客運(yùn)行了名為“servtask.bat”的腳本，用以轉(zhuǎn)儲(chǔ)Windows注冊(cè)表中的關(guān)鍵數(shù)據(jù)（如SAM、安全性和系統(tǒng)信息），并將其壓縮為ZIP文件進(jìn)行傳輸。這些信息為進(jìn)一步的網(wǎng)絡(luò)滲透和數(shù)據(jù)竊取提供了基礎(chǔ)。

2.使用本地工具降低被發(fā)現(xiàn)風(fēng)險(xiǎn)

APT28主要依賴Windows自帶工具執(zhí)行操作，以減少其在受感染系統(tǒng)中的行為痕跡。這種低調(diào)的操作方式使得黑客在不觸發(fā)異常警報(bào)的情況下成功提取數(shù)據(jù)。

3.利用零日漏洞擴(kuò)展權(quán)限

根據(jù)微軟今年4月的一份報(bào)告，APT28可能利用了Windows打印后臺(tái)處理服務(wù)中的一個(gè)零日漏洞（CVE-2022-38028）來提升其在目標(biāo)網(wǎng)絡(luò)中的權(quán)限，從而運(yùn)行關(guān)鍵的惡意負(fù)載。

“鄰居攻擊”帶來的啟示：物理安全邊界不存在了

APT28的“鄰居攻擊”顛覆了傳統(tǒng)近距離物理攻擊的概念，通常近距離物理攻擊要求攻擊者在目標(biāo)附近，例如停車場(chǎng)等場(chǎng)所。但此次事件表明，通過利用跳板式策略，攻擊者能夠在遠(yuǎn)程位置發(fā)動(dòng)物理攻擊，同時(shí)規(guī)避被物理追蹤和識(shí)別的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全防護(hù)的反思與建議

雖然近年來針對(duì)互聯(lián)網(wǎng)暴露設(shè)備的安全措施，如MFA和強(qiáng)密碼管理，已顯著提升，但WiFi網(wǎng)絡(luò)的安全性仍然是許多企業(yè)的薄弱環(huán)節(jié)。企業(yè)需將WiFi網(wǎng)絡(luò)視為與其他遠(yuǎn)程訪問服務(wù)同等重要的安全防護(hù)對(duì)象。

針對(duì)APT28的攻擊模式，企業(yè)可以采取以下措施：

• 實(shí)施嚴(yán)格的WiFi訪問控制，例如基于設(shè)備認(rèn)證的訪問策略。
• 配置網(wǎng)絡(luò)隔離，防止內(nèi)部設(shè)備同時(shí)連接無線和有線網(wǎng)絡(luò)。
• 定期監(jiān)控網(wǎng)絡(luò)流量，及時(shí)發(fā)現(xiàn)可疑行為。

企業(yè)需要從安全文化和技術(shù)雙管齊下，提高多層防護(hù)能力。結(jié)合行為分析和異常檢測(cè)工具更早發(fā)現(xiàn)類似攻擊，同時(shí)加強(qiáng)員工安全意識(shí)培訓(xùn)，減少密碼噴射攻擊的成功率。