Siber güvenlik dünyası, Rusya merkezli bir siber casusluk grubunun geliştirdiği yenilikçi bir saldırı tekniği olan “Nearest Neighbor Attack” ile sarsıldı. Bu saldırı, Wi-Fi ağlarının güvenlik açıklarını kullanarak hedef organizasyonların bilgilerini çalmayı mümkün kılıyor. İlk kez 2022’de keşfedilen saldırı, Ukrayna’ya yönelik projeler üzerinde çalışan uzmanlardan veri çalmak amacıyla gerçekleştirildi. Saldırı, Volexity adlı bir siber güvenlik şirketi tarafından ortaya çıkarıldı ve detayları kısa süre önce kamuoyuyla paylaşıldı.
Nearest Neighbor: Fiziksel yakınlıktan faydalanan siber saldırı
Volexity’nin raporuna göre, APT28 olarak bilinen Rus siber casus grubu, ilk etapta “Organization A” adını verdikleri hedef organizasyonun internet tabanlı hizmetine şifre püskürtme yöntemiyle erişim sağlamaya çalıştı. Ancak, çok faktörlü kimlik doğrulama (MFA) nedeniyle bu girişim sonuçsuz kaldı. Bunun üzerine saldırganlar, hedef organizasyonun karşısında bulunan başka bir binada yer alan “Organization B” adlı bir başka kurumu hedef aldı.
Bu ikinci organizasyonun ağına sızan saldırganlar, Ethernet bağlantısıyla internete bağlı bir cihaz buldu. Ancak cihazda aynı zamanda bir Wi-Fi adaptörü de bulunuyordu. Saldırganlar, bu adaptörü kullanarak Organization A’nın Wi-Fi ağına bağlandı ve hedef ağına erişim sağladı. Ayrıca, Organization C olarak adlandırılan üçüncü bir komşu organizasyonun ağını da kullanarak Organization A ve B arasında bağlantı kurmayı başardılar. Bu çok katmanlı yöntem, saldırganların fiziksel yakınlıktan faydalanarak siber saldırılar gerçekleştirmesine olanak tanıdı.
Bu saldırıyı benzersiz kılan bir diğer detay ise saldırganların izlerini temizlemek için Microsoft’un yerleşik bir aracı olan Cipher.exe’yi kullanması oldu. Daha önce böyle bir kullanımın örneğine rastlamadıklarını belirten Volexity, saldırganların “yaşam araçlarıyla hareket etme” yöntemini (living-off-the-land techniques) yoğun şekilde kullanarak tespit edilmeyi zorlaştırdığını ifade etti.
Microsoft’un 2024 yılı Nisan ayında yayınladığı bir raporda, bu saldırının Forest Blizzard olarak adlandırılan ve APT28, Fancy Bear gibi isimlerle de bilinen Rus siber casus grubuyla ilişkili olduğu ortaya çıktı. Forest Blizzard, hedeflerine ulaşmak için fiziksel yakınlığa ihtiyaç duyulmayan bir “yakın erişim operasyonu” gerçekleştirmiş gibi görünse de, saldırganlar bu esnada binlerce kilometre ötede güvenli bir konumda bulunuyordu.
Bu olay, Wi-Fi ağlarının operasyonel güvenlik açısından daha fazla dikkate alınması gerektiğini gösteriyor. Özellikle internet tabanlı hizmetlerin MFA ile korunması yönünde artan çabalar olmasına rağmen, Wi-Fi ağlarının aynı özenle korunmadığı görülüyor. Volexity, organizasyonların Wi-Fi ağlarının güvenliğini artırması gerektiğini belirterek, “Wi-Fi ağları fiziksel erişim gerektirmeyen, ancak fiziksel yakınlık avantajlarından yararlanılabilen saldırılara açık bir yüzey sunuyor” açıklamasında bulundu.
Bu olay, siber casuslukta fiziksel ve dijital sınırların nasıl silikleştiğinin bir göstergesi. Güvenlik önlemlerinin yalnızca dijital ağları değil, fiziksel altyapıları da kapsaması gerektiği açıkça görülüyor.
