ここまできたら スパイ映画そのもの
ネットに繋がっているとかいないとか関係なく遠隔からハッキングされる可能性もあるう
こんなハッキング方法が実現しているというお話です。
向かいの建物にあるノートPCを遠隔から乗っ取るロシアのAPT28による「ニアレストネイバー攻撃」とは?
セキュリティ企業のVolexityが、ロシア軍に関連する脅威アクターグループ・APT28による「ニアレストネイバー攻撃」を検出したと報告しています。このニアレストネイバー攻撃は「最も近い隣人」という名の通り、標的企業の近くの建物にあるノートPCなどをリモートで乗っ取ってから、標的のWi-Fiネットワーク経由で不正アクセスを試みるというものでした。
The Nearest Neighbor Attack: How A Russian APT Weaponized Nearby Wi-Fi Networks for Covert Access | Volexity
https://www.volexity.com/blog/2024/11/22/the-nearest-neighbor-attack-how-a-russian-apt-weaponized-nearby-wi-fi-networks-for-covert-access/Hackers breach US firm over Wi-Fi from Russia in 'Nearest Neighbor Attack'
https://www.bleepingcomputer.com/news/security/hackers-breach-us-firm-over-wi-fi-from-russia-in-nearest-neighbor-attack/APT28はロシア軍参謀本部情報総局(GRU)と関連するとみられる脅威アクターグループで、「Fancy Bear」「Strontium」「Pawn Storm」などのコードネームで呼ばれています。APT28はこれまで、世界アンチドーピング機関(WADA)や2016年アメリカ大統領選での民主党全国委員会などに対するハッキングに関与しているといわれています。
ロシア政府系ハッカー集団「ファンシーベア」が未発見のLinuxマルウェアツール「Drovorub」で国家安全保障を脅かしているとFBI・NSAが警告 - GIGAZINE
Volexityによると、2022年2月にウクライナ関連の作業を行っていた「政府関連組織の顧客」のサイトでサーバー侵害を検出した時に、APT28による攻撃が検出されたとのこと。
Volexityが「GruesomeLarch」というコードネームで追跡していた脅威アクターらは、まず被害者の公開サービスを狙ったパスワードスプレー攻撃で、標的となる企業のWi-Fiネットワークへの認証情報を入手しました。しかし、多要素認証保護によってパブリックネットワーク上での資格情報の使用は阻止されました。企業のWi-Fiネットワーク経由での接続自体に多要素認証は必要ありませんでしたが、標的となった企業から何千kmも離れた海外から接続しているという状況が問題となります。
そこで、脅威アクターは標的の無線ネットワークの拠点となり得る近隣の建物内の組織を探し始めました。近隣の組織のネットワーク上で有線・無線の両方を備えたノートPCなどのデバイスがあれば、脅威アクターはワイヤレスアダプターを使って標的のWi-Fiネットワークに接続できるというわけです。
調査の結果、標的となった組織の会議室にある窓の近くにあるワイヤレスアクセスポイント3つに接続可能なデバイスが適切な範囲内にあることが判明。脅威アクターは複数の近隣組織を次々と侵害してWi-Fi接続をデイジーチェーン状につなぎ、最終的に標的組織にアクセスする手法を取りました。この手法により、攻撃者は物理的な近接性を必要とする攻撃の利点を得つつ、実際には遠隔地から安全に攻撃を実行することができました。
侵入後は、Cipher.exeを使用して痕跡を消去したり、VSSAdminを使ってActive Directoryデータベースを窃取したりするなど、「Living off the land」と呼ばれる手法を用いて、既存のWindowsツールを使って活動を行いました。
Volexityによると、使用されたツールやIPアドレスから攻撃者を特定できなかったため、脅威アクターが誰なのかを特定するのは当時困難だったとのこと。しかし、2024年3月にMicrosoftがAPT28についての調査レポートを公開し、この中で脅威アクターグループが用いた「GooseEgg」という攻撃ツールについての情報が明らかになりました。
GooseEggは、Windows印刷スプーラーの特権昇格の脆弱(ぜいじゃく)性であるCVE-2022-38028を悪用したものでした。そして、Microsoftが報告したファイル名やフォルダパス、batファイル内のコマンドがVolexityの観察したものと同一だったことから、Volexityは一連の攻撃はAPT28によるものだと結論付けています。
続きはこちらから👇
向かいの建物にあるノートPCを遠隔から乗っ取るロシアのAPT28による「ニアレストネイバー攻撃」とは? - GIGAZINE
https://gigazine.net/news/20241125-apt28-the-nearest-neighbor-attack/
パソコンから漏れ出てくる微妙な電磁波・・・
というわけではなく Wi-Fiネットワーク経由 ということである。
もっと凄いコトができると思ったんだけど
フリーWi-Fiの危険性は、当ブログでも記事にしてきました。
今回は、Wi-Fiを伝ってターゲットを狙うという仕組みです。
電波ですから、近くならば受信できるわけです。
問題は、企業のWi-Fiならば「安全」という認識は危険だということです。
皆様、くれぐれもお気をつけ下さい。