8 декабря 2024

eur = 106.30 -3.48 (-3.17 %)

btc = 100 093.00$ - 228.35 (-0.23 %)

eth = 3 988.67$ -28.89 (-0.72 %)

ton = 6.73$ -0.11 (-1.67 %)

usd = 99.42 -3.96 (-3.83 %)

eur = 106.30 -3.48 (-3.17 %)

btc = 100 093.00$ - 228.35 (-0.23 %)

Форум

Русских хакеров обвинили во взломе американской компании через Wi-Fi

1 минута на чтение
Русских хакеров обвинили во взломе американской компании через Wi-Fi

Российские хакеры проникли в американскую компанию через корпоративную сеть Wi-Fi, находясь за тысячи километров от неё, сообщает BleepingComputer.

Речь о хакерах из группировки APT28, также известной как Fancy Bear. Западные СМИ связывают её с Россией. Утверждается, что для атаки, которую обнаружили ещё в феврале 2022 года, они использовали новую технику под названием «атака ближайшего соседа».

Тогда компания Volexity, занимающаяся кибербезопасностью, обнаружила взлом сервера на объекте заказчика в Вашингтоне, который выполнял работу над проектами, связанными с Украиной.

  • Для начала хакеры получили учётные данные для доступа к корпоративной Wi-Fi-сети компании-жертвы при помощи атак с «распылением паролей», направленных на публичный сервис жертвы.
«Распыление паролей» — это тактика кибератак, при которой хакер использует один пароль для взлома нескольких учётных записей. Такой вид «грубой» атаки зачастую предполагает использование общераспространённых паролей.
  • Они не смогли использовать учётные данные к публичной сети из-за многофакторной аутентификации, поэтому начали искать организации в соседних зданиях, которые могли бы послужить отправной точкой к целевой беспроводной сети.
  • Идея в компрометации другой организации и поиске в её сети устройств, которые позволили бы подключиться через их адаптер к корпоративной сети Wi-Fi компании-жертвы. В пример приводятся ноутбуки или роутеры.

В результате было установлено, что APT28 скомпрометировала несколько организаций, последовательно подключаясь к ним при помощи актуальных учётных данных доступа.

Хакерам по итогу удалось обнаружить устройство в нужном диапазоне, которое и позволило подключиться к трём точкам Wi-Fi у окон конференц-зала компании-жертвы:

Используя подключение к удалённому рабочему столу с непривилегированной учётной записью, угрожающий агент смог перемещаться по сети цели в поисках интересующих его систем и для утечки данных.

Хакеры запускали файл servtask.bat для дампа ветвей реестра Windows (SAM, Security и System), сжимая их в ZIP-архив для последующей эксфильтрации.

Злоумышленники в основном использовали встроенные инструменты Windows, чтобы свести к минимуму свой след во время сбора данных.

Эксперты Volexity не смогли приписать атаку русских хакеров каким-либо известным субъектам угроз. Но исходя из отчётов Microsoft, в атаке содержались индикаторы компрометации, совпадающие с наблюдениями Volexity:

Основываясь на деталях отчёта Microsoft, можно предположить, что APT28 смогла повысить привилегии перед запуском критической полезной нагрузки, используя уязвимость нулевого дня CVE-2022-38028 в службе Windows Print Spooler

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
f3f08690-18e5-4b78-a3f0-a8e8fb14507d-изображение-062e4c147-eadd-45be-8aa1-5371eec22440-изображение-1

GigaChat Max: коротко о главном

В России разработали электросчетчик со встроенным ИИ с вычислением майнинга

Полная версия 
d5626f83-a4ee-4e67-87f4-fde7040b0a6a-изображение-0

GigaChat Max: коротко о главном

Российский бизнес может закрыть кадровый дефицит IT-специалистами из Индии

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 299
Газпромбанк
МТС
Т-Банк
X5 Tech
Сбер
билайн
Яндекс Практикум
Ozon Tech
Циан
Банк 131