次の侵入の後、Volexity はハッカーのトラフィックのより完全なログを取得することに成功し、そのアナリストが謎を解決しました。同社は、ハッカーが顧客のシステムを探索するために使用していたハイジャックされたマシンから名前が漏洩していることを発見しました。それがホストされているドメインの名前です。実際には、道路の向かいにある別の組織の名前です。 「その時点で、それがどこから来たのかは100パーセント明らかでした」とアデアは言う。 「これは路上にある車ではありません。隣の建物です。」
Volexity はその隣人の協力を得て、その 2 番目の組織のネットワークを調査し、特定のラップトップがストリート ジャンピング Wi-Fi 侵入の発信源であることを発見しました。ハッカーは、イーサネット経由でローカル ネットワークに接続されたドックに接続されていたデバイスに侵入し、Wi-Fi をオンにして、ターゲット ネットワークへの無線ベースの中継器として機能できるようにしました。 Volexity は、ハッカーがターゲットの Wi-Fi に侵入するために、オンラインで何らかの方法で入手した資格情報を使用していたことを発見しましたが、おそらく 2 要素認証のせいで、他の場所では悪用できなかったと考えられます。
Volexity は最終的に、2 番目のネットワーク上のハッカーを 2 つの侵入ポイントまで追跡しました。ハッカーは、他の組織が所有する VPN アプライアンスを侵害したようです。しかし、彼らは組織の Wi-Fi にも侵入していました。 別の このことは、ハッカーが最終ターゲットに到達するために Wi-Fi 経由で最大 3 つのネットワークをデイジーチェーン接続した可能性を示唆しています。 「彼らがどれだけ多くのデバイスやネットワークを侵害し、この行為を行っていたかは誰にも分かりません」と Adair 氏は言います。
実際、Volexity が顧客のネットワークからハッカーを排除した後でも、ハッカーはその春に再び Wi-Fi 経由で侵入を試み、今度はゲスト Wi-Fi ネットワークで共有されているリソースにアクセスしようとしました。 「彼らは非常に粘り強かったです」とアデアは言います。しかし、Volexity はこの次の侵入の試みを検出し、侵入者をすぐに締め出すことができた、と彼は言います。
Volexity は調査の早い段階で、ハッカーがウクライナに焦点を当てた顧客組織の個々のスタッフを標的にしていたことから、ハッカーの出自はロシア人であると推測していました。そして最初の侵入から丸 2 年が経過した 4 月に、マイクロソフトは Windows の印刷スプーラーの脆弱性について警告 このファイルは、ロシアの APT28 ハッカー グループ (Microsoft ではこのグループを Forest Blizzard と呼んでいます) によって、ターゲット マシンの管理者特権を取得するために使用されていました。 Volexity が顧客の Wi-Fi ベースの侵害を分析した最初のコンピューターに残された残骸は、まさにその手法と一致していました。 「まさに1対1の試合だった」とアデアは言う。
/cdn.vox-cdn.com/uploads/chorus_asset/file/25456809/Gen_AI_feature3_VP5_1842x1036.jpg?w=238&resize=238,178&ssl=1 "Microsoft の Recall AI 機能を Copilot Plus PC で試せるようになりました")
/cdn.vox-cdn.com/uploads/chorus_asset/file/25456809/Gen_AI_feature3_VP5_1842x1036.jpg?w=100&resize=100,75&ssl=1 "Microsoft の Recall AI 機能を Copilot Plus PC で試せるようになりました")
