По данным экспертов по информационной безопасности из компании Volexity, злоумышленники попытались получить доступ к целевому устройству в IT-инфраструктуре компании, но не смогли скомпрометировать его. Тогда они решили использовать альтернативный подход.
Киберпреступники получили доступ к компьютеру в соседнем здании, а затем через него проникли в локальную сеть Wi-Fi, которая была подключена к целевой организации. Инцидент произошёл около двух лет назад.
Эксперты Volexity утверждают, что атака была проведена российской хакерской группировкой Fancy Bear (GruesomeLarch).
Злоумышленники провели серию кибератак, пытаясь скомпрометировать компьютер в целевой организации. Они использовали подбор логинов и паролей, но не смогли полностью скомпрометировать аккаунты из-за включённой двухфакторной аутентификации.
Тогда хакеры из Fancy Bear решили использовать другой подход. Они взломали компьютер, подключённый к Wi-Fi в соседнем здании, недалеко от целевой организации.
Для этого они эксплуатировали уязвимость нулевого дня в диспетчере очереди печати операционной системы Windows. Через этот компьютер они получили доступ к локальной сети, к которой был подключён компьютер основной жертвы.