«Атака на ближайшего соседа» сработала — хакеры удалённо взломали компьютер через Wi-Fi поблизости

Хакеры, которые не смогли взломать компьютер своей основной цели напрямую, осуществили обходной манёвр: они получили доступ к устройству в соседнем здании, а через него добрались до цели по локальной сети Wi-Fi. Доклад об инциденте, произошедшем ещё два года назад, представила на конференции Cyberwarcon компания Volexity, которая специализируется на вопросах кибербезопасности.

Источник изображения: volexity.com

В атаке эксперты Volexity обвинили группировку Fancy Bear (GruesomeLarch), связанную, по их версии, с российскими спецслужбами. Пытаясь взломать машину своей цели, хакеры произвели серию атак с подбором учётных данных и скомпрометировали пароли нескольких учётных записей на платформе веб-сервиса, используемой сотрудниками этой организации. Но скомпрометировать сами учётные записи злоумышленники не смогли — им помешала двухфакторная авторизация.

Хакеры GruesomeLarch прибегли к обходному манёвру. Они успешно взломали компьютер с подключением через Wi-Fi, который находился в соседнем здании — относительно недалеко от компьютера первоначальной цели. Для этого киберпреступники эксплуатировали актуальную для 2022 года уязвимость нулевого дня в диспетчере очереди печати Windows. Через этот компьютер они проникли в локальную сеть, к которой была подключена машина основной жертвы — добраться до неё этим способом оказалось проще, потому что для доступа к Wi-Fi использовались те же учётные данные, что и для веб-сервиса, только двухфакторная авторизация уже не требовалась.