19 июля 2025

eur = 90.97 0.41 (0.45 %)

btc = 118 320.00$ -1 823.57 (-1.52 %)

eth = 3 588.12$ -10.10 (-0.28 %)

ton = 3.20$ -0.07 (-2.26 %)

usd = 78.19 0.23 (0.29 %)

eur = 90.97 0.41 (0.45 %)

btc = 118 320.00$ -1 823.57 (-1.52 %)

Русских хакеров обвинили во взломе американской компании через Wi-Fi

1 минута на чтение
Красное изображение с компьютерами и электроникой, один из элементов — логотип «V».

GigaChat Max кратко объясняет суть статьи

Хакерская группировка APT28 (Fancy Bear), предположительно связанная с Россией, провела кибератаку на американскую компанию, использовав новую методику «атаки ближайшего соседа». Вначале злоумышленники применили тактику «распыления паролей» для получения доступа к корпоративной Wi-Fi-сети, однако столкнулись с многофакторной аутентификацией. Затем они взломали другие организации поблизости, чтобы найти устройства, позволяющие подключиться к нужной сети. Через найденное устройство в радиусе действия трёх точек Wi-Fi компании-жертвы хакеры получили доступ к её сетям, используя непривилегированную учетную запись и встроенные инструменты Windows. Для повышения прав использовалась уязвимость нулевого дня CVE-2022-38028 в службе Windows Print Spooler. Злоумышленники собирали данные, включая ветви реестра Windows, и эксфильтрировали их в сжатом виде.

Российские хакеры проникли в американскую компанию через корпоративную сеть Wi-Fi, находясь за тысячи километров от неё, сообщает BleepingComputer.

Речь о хакерах из группировки APT28, также известной как Fancy Bear. Западные СМИ связывают её с Россией. Утверждается, что для атаки, которую обнаружили ещё в феврале 2022 года, они использовали новую технику под названием «атака ближайшего соседа».

Тогда компания Volexity, занимающаяся кибербезопасностью, обнаружила взлом сервера на объекте заказчика в Вашингтоне, который выполнял работу над проектами, связанными с Украиной.

  • Для начала хакеры получили учётные данные для доступа к корпоративной Wi-Fi-сети компании-жертвы при помощи атак с «распылением паролей», направленных на публичный сервис жертвы.
«Распыление паролей» — это тактика кибератак, при которой хакер использует один пароль для взлома нескольких учётных записей. Такой вид «грубой» атаки зачастую предполагает использование общераспространённых паролей.
  • Они не смогли использовать учётные данные к публичной сети из-за многофакторной аутентификации, поэтому начали искать организации в соседних зданиях, которые могли бы послужить отправной точкой к целевой беспроводной сети.
  • Идея в компрометации другой организации и поиске в её сети устройств, которые позволили бы подключиться через их адаптер к корпоративной сети Wi-Fi компании-жертвы. В пример приводятся ноутбуки или роутеры.

В результате было установлено, что APT28 скомпрометировала несколько организаций, последовательно подключаясь к ним при помощи актуальных учётных данных доступа.

Хакерам по итогу удалось обнаружить устройство в нужном диапазоне, которое и позволило подключиться к трём точкам Wi-Fi у окон конференц-зала компании-жертвы:

Используя подключение к удалённому рабочему столу с непривилегированной учётной записью, угрожающий агент смог перемещаться по сети цели в поисках интересующих его систем и для утечки данных.

Хакеры запускали файл servtask.bat для дампа ветвей реестра Windows (SAM, Security и System), сжимая их в ZIP-архив для последующей эксфильтрации.

Злоумышленники в основном использовали встроенные инструменты Windows, чтобы свести к минимуму свой след во время сбора данных.

Эксперты Volexity не смогли приписать атаку русских хакеров каким-либо известным субъектам угроз. Но исходя из отчётов Microsoft, в атаке содержались индикаторы компрометации, совпадающие с наблюдениями Volexity:

Основываясь на деталях отчёта Microsoft, можно предположить, что APT28 смогла повысить привилегии перед запуском критической полезной нагрузки, используя уязвимость нулевого дня CVE-2022-38028 в службе Windows Print Spooler

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
ИИ от OpenAI занял второе место на чемпионате по программированиюИИ от OpenAI занял второе место на чемпионате по программированиюИИ от OpenAI занял второе место на чемпионате по программированию

GigaChat Max: коротко о главном

ИИ от OpenAI занял второе место на чемпионате по программированию

Полная версия 
Геймерам могут запретить передавать аккаунты из-за нового закона

GigaChat Max: коротко о главном

Геймерам могут запретить передавать аккаунты из-за нового закона

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 379
OTP Bank
Газпромбанк
Сбер
Т-Банк
X5 Tech
билайн
МТС
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы