«Ближайший сосед»: удаленная атака на сеть Wi-Fi

С точки зрения информационной безопасности беспроводные сети, как правило, рассматриваются как нечто очень локальное. Ведь для того, чтобы к ним подключиться, необходимо физически быть в непосредственной близости от точки доступа. Это свойство существенно ограничивает их использование для атак на организацию и таким образом снижает их восприятие в качестве вероятного вектора атаки. Просто за счет того, что у человека складывается впечатление, будто абстрактный хакер из Интернета не может просто так взять и подключиться к корпоративному Wi-Fi. Однако недавно обнаруженная атака «ближайший сосед» демонстрирует, что это не совсем так.

Беспроводная сеть в целом неплохо защищенной организации может стать удобной точкой входа для удаленных атакующих, если те предварительно взломают другую, более уязвимую компанию, офис которой расположен в том же здании или в одном из соседних. Рассказываем подробнее о том, как это работает и что можно сделать для защиты от подобных атак.

Удаленная атака на беспроводную сеть организации

Предположим, есть некие атакующие, которые собираются удаленно взломать некую организацию. Они собирают информацию об этой компании, исследуют ее внешний периметр, может быть, даже находят в базах утекших паролей учетные данные некоторых сотрудников. Но подходящих для эксплуатации уязвимостей не видят, а кроме того, понимают, что во всех внешних сервисах компании включена двухфакторная аутентификация, так что одних только паролей для входа недостаточно.

Методом проникновения могла бы стать корпоративная сеть Wi-Fi, в которую можно попытаться войти с помощью тех же учетных данных. Особенно, если у организации есть гостевая сеть Wi-Fi, которая недостаточно тщательно изолирована от основной сети, — для нее двухфакторную аутентификацию и включают крайне редко. Но есть проблема: атакующие находятся на другом конце земного шара и физически не могут подключиться к офисному Wi-Fi.

Вот тут-то им приходит на помощь тактика «ближайший сосед» (nearest neighbor). Если атакующие проведут дополнительную разведку, то, скорее всего, они без труда обнаружат множество других организаций, чьи офисы находятся в пределах действия сигнала Wi-Fi атакуемой компании. И нельзя исключать, что какие-то из этих организаций-соседей окажутся значительно более уязвимыми, чем изначальная цель атакующих.

Просто потому, что профиль деятельности этих организаций не предполагает серьезного риска кибератак, так что они относятся к безопасности не слишком внимательно. Например, не используют двухфакторную аутентификацию на своих внешних ресурсах. Или не обновляют вовремя программное обеспечение, предоставляя атакующим удобные уязвимости для эксплуатации.

Так или иначе, атакующим проще получить доступ в сеть одной из этих организаций-соседей. Далее им остается найти и скомпрометировать в «соседской» инфраструктуре какое-нибудь устройство, подключенное к проводной сети и оснащенное беспроводным модулем. Просканировав через него Wi-Fi-эфир, атакующие могут обнаружить SSID сети интересующей их компании.

После этого, используя скомпрометированное «соседское» устройство в качестве моста, нападающие смогут подключиться к корпоративной сети Wi-Fi настоящей цели их атаки. Таким образом они получат доступ внутрь периметра атакуемой организации. Первоначальная задача взломщиков будет выполнена, и они смогут приступить к осуществлению своей основной цели — краже информации, шифрованию данных, слежке за деятельностью сотрудников и так далее.

Как защититься от «ближайшего соседа»

Следует отметить, что данная тактика уже некоторое время используется как минимум одной APT-группировкой, так что опасность отнюдь не теоретическая. Поэтому организациям, которые имеют шансы стать жертвами целевых атак, следует начать относиться к безопасности корпоративной беспроводной сети не менее тщательно, чем к безопасности ресурсов, подключенных к Интернету.

В целом для защиты от атаки «ближайший сосед» мы рекомендуем следующее:

• Убедитесь в том, что гостевая сеть Wi-Fi действительно изолирована от основной сети.
• Усильте защиту подключения к корпоративному Wi-Fi — с помощью двухфакторной аутентификации с использованием одноразовых кодов или сертификата.
• Включите двухфакторную аутентификацию не только на внешних ресурсах, но и на внутренних (и в целом внедряйте концепцию Zero Trust).
• Используйте продвинутую систему обнаружения и предотвращения угроз, такую как Kaspersky Symphony.
• При нехватке собственных высококвалифицированных специалистов по информационной безопасности воспользуйтесь услугами внешних сервисов, таких как Managed Detection and Response и Incident Response.