Remote-Risiken und Nachbarnetzwerke: die Anatomie eines Nächster-Nachbar-Angriffs

Im Februar 2022 griff die russische Staatsbedrohungsgruppe APT28, auch Fancy Bear, Forest Blizzard und GrusomeLarch genannt, ein US-Unternehmen mit Verbindungen zur Ukraine an. 

Das Motiv war bekannt: das Sammeln von Informationen. Die Methode war jedoch neuartig – ein neuer Ansatz, der Risiken aus der Ferne mit Netzwerken in der Nachbarschaft kombinierte. Bekannt als Angriff auf den nächsten Nachbarn, ist es ein Weckruf für Unternehmen, die digitale Türen verriegeln, aber WLAN-Fenster offen lassen. 

In diesem Artikel erläutern wir die Grundlagen eines Nearest-Neighbor-Angriffs, untersuchen den APT28-Kompromiss und geben Tipps, wie Unternehmen ihre Sicherheit gewährleisten können. 

Was ist ein Nearest-Neighbor-Angriff?

Ein Angriff durch den nächsten Nachbarn zielt nicht direkt auf die beabsichtigten Opfer ab. Stattdessen gefährden bösartige Akteure die digitale Security von Unternehmen in der Nähe und verwenden dann WLAN-fähige Geräte, um Zielnetzwerke zu erkennen und sich mit ihnen zu verbinden. 

Diese Art von Angriff funktioniert, weil WLAN von Natur aus lokal ist und die Signale nur eine kurze Distanz über die physischen Grenzen eines Unternehmens hinausreichen – gerade genug, um von Geräten nebenan erkannt zu werden. Und während Unternehmen sich zunehmend um den Schutz öffentlicher Bereiche bemühen, sind sie bei WLANs oft weniger besorgt, da deren digitaler Fußabdruck kleiner ist. Daher sind für den Zugriff auf viele WLANs lediglich Zugangsdaten erforderlich.

Das Ergebnis ist eine einmalige Gelegenheit für Angreifer. Anstatt zu versuchen, gut geschützte Unternehmensnetzwerke zu kompromittieren, dringen sie mit brachialer Gewalt in schlecht geschützte Nachbarnetzwerke ein. Sobald sie drinnen sind, finden sie ein Dual-Homed-Gerät – eines, das sowohl über kabelgebundene als auch über drahtlose Verbindungen verfügt – und verwenden dieses Gerät, um nach dem WLAN ihres Ziels zu suchen. Von dort aus nutzen sie gestohlene Zugangsdaten, um Zugriff zu erhalten und geschützte Daten zu exfiltrieren.

Aus der Sicht potenzieller Opfer ist der Angriff schwer zu erkennen und noch schwerer zu verfolgen. Da auf WLANs mit legitimen Zugangsdaten zugegriffen wurde und es keine Hinweise auf physische oder digitale Manipulationen gibt, müssen IT-Teams warten, bis Angriffe im Gange sind, um Signaldaten zu erfassen und den Ausgangspunkt zu ermitteln. 

Anatomie des APT28-Angriffs

Wie die meisten Angreifer bevorzugen auch russische Staatsakteure den einfachsten Weg zur Kompromittierung: den Kauf oder Diebstahl von Zugangsdaten. Wenn dies nicht funktioniert – beim Angriff im Jahr 2022 war das Zielnetzwerk durch eine Multifaktor-Authentifizierung (MFA) geschützt – schwenken sie oft auf eine lokale WLAN-Kompromittierung um. Agenten wurden auf frischer Tat mit versteckten Antennen ertappt, als sie versuchten, vor Ort Hacks durchzuführen.  

Um ihr Risiko zu verringern und ihre Spuren zu verwischen, versuchte APT28 einen anderen Ansatz. Anstatt sich in Autos zu verstecken oder in nahegelegenen Parks herumzuschleichen, suchten die Angreifer nach nahegelegenen Netzwerken, die kein MFA verwendeten. Dann nutzten sie Angriffe zum Fälschen von Zugangsdaten, um diese Netzwerke zu kompromittieren, Dual-Home-Geräte ausfindig zu machen und sich Zugang zum WLAN des Ziels zu verschaffen, das nicht durch MFA geschützt war. Dadurch konnte APT28 zuvor gestohlene Zugangsdaten verwenden, ohne sich Gedanken über zusätzliche Sicherheitsüberprüfungen machen zu müssen. 

Wie Dark Reading feststellte, verfolgten die Angreifer einen Living-off-the-Land-Ansatz, um nicht entdeckt zu werden. Sie erstellten ein kundenspezifisches PowerShell-Skript, um verfügbare WLANs zu finden und zu untersuchen, und verwendeten Windows-Tools wie Cipher.exe, um sich seitlich durch Netzwerke zu bewegen. Das Ergebnis war ein Angriff, der scheinbar aus dem Inneren des Gebäudes erfolgte, jedoch Tausende von Kilometern entfernt ausgeführt wurde.

Drei Möglichkeiten zur Reduzierung des Nachbarrisikos

Bei Nearest-Neighbor-Angriffen werden benachbarte WLANs gekapert, um die Verteidiger von der Spur abzubringen. Je länger die Security-Teams dafür brauchen, die Quelle des Kompromisses zu ermitteln, desto mehr Zeit haben bösartige Akteure, um Datenbanken zu durchsuchen und kritische Daten zu stehlen. 

Hier sind drei Möglichkeiten, um das Risiko negativer Interaktionen mit Nachbarn zu verringern:

1. Verwenden Sie bessere Passwörter

Wie oben erwähnt, nutzten russische Angreifer Credential Stuffing, um Geschäfte in der Nähe zu kompromittieren. Durch die Verwendung besserer Passwörter – CISA schlägt Passwörter vor, die mindestens 16 Zeichen enthalten, zufällig sind und nur für ein Konto gelten – und die regelmäßige Änderung dieser Passwörter können Unternehmen das Risiko verringern, ein schlechter Nachbar zu sein. 

2. Netzwerkweite MFA implementieren

WLAN ohne MFA verschaffte bösartigen Akteuren den Zugangspunkt, den sie für die Verwendung gestohlener Zugangsdaten benötigten. Durch die Implementierung einer Multifaktor-Authentifizierung in Unternehmensnetzwerken können Unternehmen die Bemühungen von Angreifern vereiteln.

Laut CISA sind jedoch einige Arten von MFA besser als andere. Beispielsweise bietet MFA für Textnachrichten (SMS) zwar mehr Schutz für Benutzer, diese Nachrichten können jedoch von Angreifern abgefangen werden. Push-Benachrichtigungen auf App-Basis oder One-Time-Passwörter (OTPs) bieten dagegen einen besseren Schutz. Tools, die gegenüber Phishing resistent sind, wie FIDO, das eine Public-Key-Infrastruktur nutzt, gelten als die sichersten. 

3. Erstellen Sie separate Netzwerke

WLANs können als seitliches Sprungbrett für Angreifer dienen, um auf Kabelverbindungen zuzugreifen, was wiederum den Zugriff auf geschützte Ressourcen ermöglichen kann. Um dieses Risiko zu verringern, können Unternehmen separate Netzwerkumgebungen aufbauen. Dies bedeutet, dass es nicht ausreicht, das WLAN zu kompromittieren – Angreifer müssen weiterhin MFA-Prüfungen bestehen, wenn sie auf kabelgebundene Netzwerke zugreifen möchten. 

Das war's mit der Nachbarschaft

Gute Nachbarn sind höflich, respektvoll und versuchen nicht, Firmengeheimnisse zu stehlen. Bösartige Akteure können nun jedoch schlecht geschützte Nachbarschaftsnetzwerke kapern, um WLAN-Verbindungen zu kompromittieren und digitale Verteidigungsmaßnahmen zu umgehen, was ein zusätzliches Risiko für ansonsten friedliche Nachbarschaften darstellt.

Um digitale Straßen sicher zu halten, müssen Sie potentielle Angriffspunkte erkennen, wie z. B. WLAN, das nicht durch MFA geschützt ist, oder leicht zu erratende Passwörter, die für Angriffe zum Ausfüllen von Zugangsdaten verwendet werden können. Mit einem netzwerkweiten Security-Ansatz, der alle Komponenten als gleichwertig und potenziell unsicher behandelt, können Unternehmen einheitliche Umgebungen schaffen, die Angreifer außen vor lassen.