האקרים משתמשים בשכנים שלכם כדי לפרוץ למחשבים שלכם
החברים שנמצאים במשרד בקומה או בבניין עשויים להתגלות ככלי שרת במתקפת סייבר, כך מצא מחקר חדש ומעניין במיוחד
אתם מכירים את זה שאתם מתחברים לרשת המשרדית ב-Wi-Fi, ואז רואים את כל הרשתות של החברות והמשרדים שממוקמים מסביבכם? אז מה אם נגיד לכם, שגם רשת תמימה של השכנים הנחמדים מהקומה עלולה לשמש לפריצה לאירגון שלכם מרחוק. נשמע כמו מדע בדיוני או תרחיש הזוי? אז זהו, שכבר לא.
אתם אולי מאובטחים, אבל השכן שלכם לא
חברת המחקר Volexity מפרסמת תחקיר מעניין, שהחל בימים המוקדמים של חודש פברואר 2022, רגע לפני פלישת רוסיה לאוקראינה. לטענתם, התראה קפצה אצל לקוח של החברה, ולאחר חקירה ראשונית, החברה הבינה שהיא עומדת מול מתקפה שהיא פשוט לא מכירה. חוקרי החברה החלו לבדוק במשך חודש וחצי את המקרה והממצאים הפורנזיים שהתגלו בלוגים ובמערכות הלקוח, וגילו שאיכשהו הוא הותקף דווקא על ידי האירגונים שנמצאים ממש לידו. אבל איך זה קרה?
בשלב הראשון, נראה שההאקרים הצליחו לפצח מספר סיסמאות ופרטים של עובדים של הלקוח, אבל לא יכלו להשתמש בהם, כיוון שכל החשבונות הללו היו מוגנים במנגנון אימות דו-שלבי (MFA). אבל רק אלמנט אחד אצל הלקוח לא היה מוגן באימות דו-שלבי: רשת ה-Wi-Fi של האירגון עצמו. כל שהתוקפים היו צריכים, זה את שם המשתמש והסיסמה של אחד העובדים, ובכך לחדור אל הרשת האלחוטית ואל האירגון כולו. הבעיה? ההאקרים נמצאים בכלל בצד השני של העולם במרחק של עשרות אלפי קילומטרים, ולא יכולים לגשת לרשת האלחוטית של הקורבן כדי להשלים את המתקפה ולהתחיל לגנוב פרטים.
כאן נכנסו לתמונה השכנים הנחמדים – אותם אירגונים שנמצאים ממש באותו הבניין של הקורבן. לפי Volexity, התוקפים הצליחו לפרוץ לאחד האירגונים שהמשרדים שלו יושבים בסמוך למטרה, ובתוך הרשת הפנימית הם הצליחו למצוא מתאמי רשת אלחוטיים וקווים. באמצעות מתקפה אחרת, הם הצליחו להשתלט על מתאם הרשת האלחוטי, ולמצוא בעזרתו את השם של הרשת האלחוטית של הקורבן שנמצא במשרד ממש ליד. בשלב הזה, כל מה שהם היו צריכים לעשות, זה להזין את שם המשתמש והסיסמא שהם כבר שלפו בשלב הראשון, והופ – הם נמצאים בתוך האירגון שהם רצו לחדור אליו. בסופו של דבר, ההאקרים הצליחו לחדור אל רשת הקורבן באמצעות השתלטות על מחשב עם מתאם אלחוטי שישב באחד המשרדים בבניין של הקורבן. מתקפה משורשרת ומבוססת שכן, אם תרצו.
התוקפים עשו קאמבק בזכות רשת נוספת
ב-Volexity טוענים כי מדובר במתקפה חסרת תקדים שמסמנת איום חדש שטרם נחשף בעבר, והחליטו לקרוא לסוג המתקפה הזה Nearest Neighbor Attack. באופן די מרשים, כחודש לאחר איתור המתקפה, Volexity טוענים כי קיבלו עוד התראה על פריצה ללקוח, וגילו שאותו תוקף הצליח לחדור שוב לרשת הפנימית. יכולים לנחש איך זה קרה? ובכן, הפעם התוקפים קפצו על רשת הווייפיי שהייתה מיועדת לאורחים. בדרך כלל, אתם חושבים שרשת האורחים מבודדת לחלוטין מהרשת הפנימית שלכם, אבל במקרה של הלקוח של Volexity, מערכת אחת כן הייתה זמינה בין שתי הרשתות, ובאמצעות פרטים של חשבון שלא אופס בעקבות המתקפה הקודמת, התוקפים הצליחו לחזור אל הרשת ולהניח את ידיהם על מידע מאוד משמעותי לדברי החברה.
בשלב הזה אתם בטח תוהים איך כבר אפשר להגן על האירגון שלכם, אם אפילו השכנים מהמשרד לידכם עשויים להיות חלק במתקפה מבלי שהם יודעים. ב-Volexity ממליצים בעיקר ליצור סביבות רשת נפרדות לרשתות Wi-Fi ורשתות Ethernet, ולשקול הפעלה של מנגנון MFA גם להתחברות לרשתות ווייפיי פנימיות, בנוסף לאיתור וניטור של אנומליות ברשת של האירגון. בהצלחה בפגישה הבאה במעלית.