サイバーセキュリティ企業の米Volexityは、ロシアのハッカー集団「GruesomeLarch」(APT28、Forest Blizzard、Sofacyなどの別名を持つ)が、標的に物理的に近接するWi-Fiネットワークを悪用する新しい攻撃手法を展開していたことを発表した。この攻撃は「Nearest Neighbor Attack」と名付けられ、2022年2月、ロシアのウクライナ侵攻直前に見つかった。
同社は、顧客の標的組織Aのネットワークで不審な活動を検知し、調査を開始した。この調査により、攻撃者が標的組織Aから数千メートル離れた場所から、標的組織AのWi-Fiネットワークに接続することに成功していたことが明らかになった。
攻撃者は、まず標的組織Aの公開サービスにパスワードスプレー攻撃(複数のアカウントで同じパスワードの試みる総当たり攻撃の一種)を仕掛け、有効な認証情報を入手。多要素認証(MFA)が実装されていたため、これらの認証情報を公開サービスに対して使用することはできなかったが、標的組織AのWi-Fiネットワークにはそのような保護がなかった。
攻撃の手口は巧妙であった。攻撃者は、標的組織Aの近隣にある別の組織Bに侵入した。そこで有線LANとWi-Fi両方に接続された端末を発見し、その端末のWi-Fiアダプターを利用して標的組織AのWi-Fiネットワークに接続した。
さらに、組織Bへのアクセスは、別の近隣組織Cのネットワークから行われていた。このように、攻撃者は複数の近隣組織をまたいで接続を連鎖させ、数千メートル離れた場所から最終的な標的へのアクセスを実現した。
この攻撃を特徴づけるのは、システムにもともと存在するWindowsツールや機能を悪用する「Living off the Land」手法を採用したことである。これにより、ウイルス対策ソフトなどの検知を回避できる。
また、多要素認証(MFA)を実装していた公開サービスには侵入できなかったものの、MFA保護のないWi-Fiネットワークを経由して内部への侵入に成功した点も注目される。最終的に攻撃者はゲストWi-Fiネットワーク経由で再侵入を試みており、これも成功している。
攻撃者の素性については、米Microsoftが24年4月に公開した研究により、GruesomeLarchと特定された。この組織はウクライナ関連の情報収集を目的として活動していた。実際、この攻撃はロシアのウクライナ侵攻直前に発見されている。
※Innovative Tech:このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。X: @shiropen2