جواسيس روس يتنقلون من شبكة إلى أخرى عبر شبكة Wi-Fi في عملية اختراق غير مسبوقة
فقط بعد الاختراق التالي، عندما تمكنت شركة Volexity من الحصول على سجلات أكثر اكتمالاً لحركة مرور المتسللين، تمكن محللوها من حل اللغز: وجدت الشركة أن الجهاز المختطف الذي كان المتسللون يستخدمونه للتنقيب في أنظمة عملائها كان يسرب الاسم. للنطاق الذي تمت استضافته فيه – في الواقع، اسم مؤسسة أخرى على الجانب الآخر من الطريق. يقول أدير: «في تلك المرحلة، كان من الواضح بنسبة 100% من أين يأتي هذا الفيروس». “إنها ليست سيارة في الشارع. إنه المبنى المجاور.”
بالتعاون مع ذلك الجار، قامت شركة Volexity بالتحقيق في شبكة تلك المنظمة الثانية ووجدت أن جهاز كمبيوتر محمولًا معينًا كان مصدر اقتحام شبكة Wi-Fi أثناء القفز في الشوارع. اخترق المتسللون هذا الجهاز، الذي تم توصيله بقاعدة متصلة بالشبكة المحلية عبر إيثرنت، ثم قاموا بتشغيل شبكة Wi-Fi الخاصة به، مما سمح له بالعمل كجهاز ترحيل قائم على الراديو إلى الشبكة المستهدفة. وجدت Volexity أنه لاقتحام شبكة Wi-Fi الخاصة بهذا الهدف، استخدم المتسللون بيانات الاعتماد التي حصلوا عليها بطريقة ما عبر الإنترنت ولكن يبدو أنهم لم يتمكنوا من استغلالها في مكان آخر، على الأرجح بسبب المصادقة الثنائية.
قامت شركة Volexity في النهاية بتتبع المتسللين على تلك الشبكة الثانية إلى نقطتين محتملتين للتسلل. يبدو أن المتسللين قد قاموا باختراق جهاز VPN مملوك للمنظمة الأخرى. لكنهم قاموا أيضًا باقتحام شبكة Wi-Fi الخاصة بالمنظمة من آخر أجهزة الشبكة في نفس المبنى، مما يشير إلى أن المتسللين ربما قاموا بربط ما يصل إلى ثلاث شبكات عبر شبكة Wi-Fi للوصول إلى هدفهم النهائي. يقول أدير: “من يعرف عدد الأجهزة أو الشبكات التي قاموا باختراقها وكانوا يفعلون ذلك عليها”.
في الواقع، حتى بعد أن طردت شركة Volexity المتسللين من شبكة عملائها، حاول المتسللون مرة أخرى في ذلك الربيع اختراق شبكة Wi-Fi، محاولين هذه المرة الوصول إلى الموارد التي تمت مشاركتها على شبكة Wi-Fi الضيف. يقول أدير: “كان هؤلاء الرجال مثابرين للغاية”. ويقول إن Volexity كان قادرًا على اكتشاف محاولة الاختراق التالية هذه، وإغلاق المتسللين بسرعة.
افترضت شركة Volexity في وقت مبكر من تحقيقها أن المتسللين كانوا من أصل روسي بسبب استهدافهم للموظفين الأفراد في مؤسسة العملاء التي تركز على أوكرانيا. ثم في أبريل، بعد عامين كاملين من الاختراق الأصلي، حذرت مايكروسوفت من وجود ثغرة أمنية في التخزين المؤقت للطباعة في نظام التشغيل Windows والتي استخدمتها مجموعة قراصنة APT28 الروسية – تشير مايكروسوفت إلى المجموعة باسم Forest Blizzard – للحصول على امتيازات إدارية على الأجهزة المستهدفة. البقايا التي تركتها شركة Volexity على أول جهاز كمبيوتر قامت بتحليله في الاختراق القائم على شبكة Wi-Fi لعملائها تتطابق تمامًا مع هذه التقنية. يقول أدير: “لقد كانت مباراة فردية”.