Nearest Neighbor Attack: Angriff ĂĽber WLAN des Nachbarn

Multi-Faktor-Authentifizierung schützt nicht, wenn nicht alle Zugänge damit versehen sind – das musste ein US-Unternehmen durch APT28 lernen.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen

Die beste interne Verteidigung nutzt nichts, wenn kritische Teile auch von auĂźen ohne MFA erreichbar sind.

(Bild: VideoFlow/Shutterstock.com)

Lesezeit: 4 Min.
Von
  • Nico Ernst

Die Security-Welt kennt jetzt eine neue Angriffsmethode auf geschĂĽtzte Netzwerke: Die "Nearest Neighbor Attack", also: Angriff ĂĽber den nahesten Nachbarn. Mit diesem Verfahren gelang es mutmaĂźlich den russischen Cyberangreifern der Gruppe APT28 in das Netz einer Firma in den USA einzudringen. Sie griffen dabei sowohl die Infrastruktur dieser Firma wie auch die eines benachbarten Unternehmens am selben Ort an.

Wie die Sicherheitsberater von Volexity berichten, erwischte es dabei einen ihrer Kunden. Der stellte verdächtige Zugriffe auf seine Systeme fest, konnte sich aber nicht erklären, wie die Angreifer in das Netz gelangen konnten. Eineinhalb Monate untersuchte Volexity den Vorfall, und kam zu mehreren Erkenntnissen: Die Eindringlinge hatten gezielt dieses Unternehmen im Februar 2022 angegriffen, weil es nicht näher benannte "Projekte in der Ukraine" betrieb, nach Daten dazu gesucht, und dafür auch eine Zero-Day-Lücke eingesetzt. Kurz darauf begann die russische Invasion der Ukraine.

In der Kombination, und weil man schon frĂĽher mit dieser Organisation zu tun hatte, ordnet Volexity den Angriff APT28 zu, die auch unter Namen wie Fancy Bear, Forest Blizzard, Sofacy oder, wie von Volexity bisher verwendet, GruesomeLarch bekannt sind. All diese Bezeichnungen, die von Sicherheitsforschern als Arbeitsnamen vergeben werden, meinen dieselbe Gruppe, die einen "Advanced Persistent Threat" (APT) darstellt, also eine Organisation, die ĂĽber lange Zeit mit ausgeklĂĽgelten Methoden und hohem Aufwand eine Bedrohung darstellt.

Dahinter stecken laut gängiger Meinung von Sicherheitsforschern in der Regel Staaten, welche die Gruppen finanzieren, schützen und beispielsweise mit dem Übermitteln von Sicherheitslücken unterstützen. Die Zuordnung der Attacke auf den Kunden von Volexity war letztendlich nur möglich, weil Microsoft im April 2024 eine Methode von APT28 beschrieb, mit der diese eine Lücke in Windows ausgenutzt hatten. Volexity fand Teile dieses Verfahrens auch bei dem Angriff auf seinen Kunden. Das Tool dafür heißt "GooseEgg", und enthielt den Exploit, den man im Februar 2022 bei dem angegriffenen US-Unternehmen fand. Genauer: Teile davon, denn die Eindringlinge hatten viele ihrer Spuren verwischt, unter anderem, durch sicheres Überschreiben von freiem Speicherplatz mit dem in Windows integrierten Tool "cipher.exe".

Bevor es jedoch so weit kommen konnte, mussten die Eindringlinge den Weg ins Netzwerk finden. Das gelang nicht direkt, weil die Zugänge zu den Systemen mit Multi-Faktor-Authentifizierung (MFA) abgesichert waren. Zwar hatten die Angreifer per Password-Spraying Zugangsdaten erbeutet, aber nach einem Login damit scheiterten sie am nächsten Faktor. Was jedoch kein MFA aufwies, war das Login für das firmeneigene Gast-WLAN. Doch wie kommt man von Russland aus in Reichweite des Funknetzes?

Die Antwort ist relativ simpel: Über ein benachbartes WLAN-Gerät, welches Signale von den Access Points des Ziels empfangen kann. Dort setzen die Cyberkriminellen auch an, indem sie dieses Drittunternehmen über das Internet angriffen, und dann dessen WLAN-Geräte wie eine Bridge zum Zielunternehmen nutzten. Erkannt wurde das, weil die Systeme von Volexity während der aktiven Angriffe Netzwerklogs von beiden Unternehmen auswerteten. Letztlich stellte sich heraus: Die Angreifer kamen immer über die selben drei Access Points ins Netz, und das über eine Firma, die sich direkt gegenüber in derselben Straße befand.

Dass man ĂĽber das Gast-WLAN des Ziels kritische Systeme erreichen konnte, lag daran, dass eines davon sowohl per drahtgebundenem Ethernet wie das Gast-WLAN erreichbar war. Damit fiel MFA weg, es handelte sich offenbar um eine Fehlkonfiguration. Von diesem System aus hangelten sich die Angreifer durch den Rest des Netzwerks.

Nicht nur, das zu vermeiden, ist eine Lehre aus dem Vorfall. Administratoren sollten nun auch verstärkt nicht nur auf eingehende, sondern ausgehende Verbindungen per WLAN achten. Wenn es plötzlich ständig drahtlosen Netzwerkverkehr zu einem anderen Firmen-WLAN gibt, das vorher noch nie gesehen wurde, sollte man ganz genau nachsehen.

(nie)