資安業者揭露俄羅斯駭客APT28的Nearest Neighbor攻擊

資安業者Volexity上周揭露了俄羅斯駭客組織APT28一起精心設計的攻擊行動「Nearest Neighbor Attack」，由於APT28打算要攻擊的A組織在各個公共服務採用了多因素身分驗證（MFA），使得APT28最終選擇攻陷A組織的各個鄰居，再藉由鄰居的電腦入侵A組織未執行MFA的Wi-Fi網路。

這起攻擊事件發生在2022年2月，正巧是俄羅斯入侵烏克蘭的前夕，APT28的目的是蒐集A組織中涉及烏克蘭的個人或專案資料。

調查發現，APT28先針對A組織的對外服務發動密碼潑灑攻擊，儘管已經取得了帳號及密碼，卻無法通過這些服務的多因素身分驗證，於是轉向較少採用MFA的Wi-Fi網路，然而，APT28與A組織之間有半個地球的距離，使得APT28決定從A組織的鄰居們著手。

APT28成功入侵了A組織附近的多個組織，這些組織的辦公室離A組織很近，而且可以連到A組織的Wi-Fi 網路，在控制其鄰居的某臺電腦之後，就能以已知的憑證登入A組織的Wi-Fi 網路。

APT28的手法既複雜且精細，它們破壞了A組織附近的至少2個組織，以便串連使用這些組織的Wi-Fi網路及VPN連線，最終成功滲透到A組織的網路。

Volexity指出，此一攻擊展現了物理上的鄰近性，如何成為網路滲透的重要工具，企業需要重新審視Wi-Fi網路的安全性，並採取更嚴格的控制措施，建議組織可以實施Wi-Fi 的MFA驗證，或是分隔Wi-Fi 網路及乙太網路，強化日誌紀錄，以及監控異常行為。