ロシアのハッカー、ターゲットの建物に“隣人のWi-Fi経由”で侵入 攻撃元は数千km離れた場所 ウクライナ侵攻直前に実行：Innovative Tech

サイバーセキュリティ企業の米Volexityは、ロシアのハッカー集団「GruesomeLarch」（APT28、Forest Blizzard、Sofacyなどの別名を持つ）が、標的に物理的に近接するWi-Fiネットワークを悪用する新しい攻撃手法を展開していたこと発表した。

[山下裕毅，ITmedia]

Innovative Tech：

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

X： ＠shiropen2

　サイバーセキュリティ企業の米Volexityは、ロシアのハッカー集団「GruesomeLarch」（APT28、Forest Blizzard、Sofacyなどの別名を持つ）が、標的に物理的に近接するWi-Fiネットワークを悪用する新しい攻撃手法を展開していたことを発表した。この攻撃は「Nearest Neighbor Attack」と名付けられ、2022年2月、ロシアのウクライナ侵攻直前に見つかった。

ロシアのハッカー、ターゲットの建物に“隣人のWi-Fi経由”で侵入

　同社は、顧客の標的組織Aのネットワークで不審な活動を検知し、調査を開始した。この調査により、攻撃者が標的組織Aから数千メートル離れた場所から、標的組織AのWi-Fiネットワークに接続することに成功していたことが明らかになった。

　攻撃者は、まず標的組織Aの公開サービスにパスワードスプレー攻撃（複数のアカウントで同じパスワードの試みる総当たり攻撃の一種）を仕掛け、有効な認証情報を入手。多要素認証（MFA）が実装されていたため、これらの認証情報を公開サービスに対して使用することはできなかったが、標的組織AのWi-Fiネットワークにはそのような保護がなかった。

　攻撃の手口は巧妙であった。攻撃者は、標的組織Aの近隣にある別の組織Bに侵入した。そこで有線LANとWi-Fi両方に接続された端末を発見し、その端末のWi-Fiアダプターを利用して標的組織AのWi-Fiネットワークに接続した。

　さらに、組織Bへのアクセスは、別の近隣組織Cのネットワークから行われていた。このように、攻撃者は複数の近隣組織をまたいで接続を連鎖させ、数千メートル離れた場所から最終的な標的へのアクセスを実現した。

今回の攻撃手法「Nearest Neighbor Attack」の概要

　この攻撃を特徴づけるのは、システムにもともと存在するWindowsツールや機能を悪用する「Living off the Land」手法を採用したことである。これにより、ウイルス対策ソフトなどの検知を回避できる。

　また、多要素認証（MFA）を実装していた公開サービスには侵入できなかったものの、MFA保護のないWi-Fiネットワークを経由して内部への侵入に成功した点も注目される。最終的に攻撃者はゲストWi-Fiネットワーク経由で再侵入を試みており、これも成功している。

　攻撃者の素性については、米Microsoftが24年4月に公開した研究により、GruesomeLarchと特定された。この組織はウクライナ関連の情報収集を目的として活動していた。実際、この攻撃はロシアのウクライナ侵攻直前に発見されている。