Die Bedeutsamkeit einer Sicherheitslücke in Betriebssystemen, Servern und Netzwerken wird oftmals danach bewertet, wie leicht sie sich aus der Ferne ausnutzen lässt. Fällt der Satz „Angreifer benötigt Zugriff vor Ort“, wird die Dringlichkeit einer Behebung eher niedrig eingestuft. Diese Sicherheit war augenscheinlich nur eine scheinbare: Sicherheitsexperten berichteten von einem erfolgreichen Angriff aus tausenden Kilometern Entfernung. Da das Ziel der Attacke recht gut abgesichert war, benötigten die Angreifer ein Gerät vor Ort – und fanden es im Nachbargebäude.


Der Fall, von dem das IT-Sicherheitsunternehmen Volexity berichtete, trug sich vor über zwei Jahren zu und stellte offenbar eine Vorbereitung der russischen Invasion in der Ukraine dar. Am 4. Februar 2022 lösten verdächtige Aktivitäten auf Windows-Rechnern im ukrainischen Standort einer unbenannt bleibenden Organisation einen IT-Alarm aus: Registry-Dateien wurden zusammengetragen und zu einem ZIP-Archiv verpackt. In einer nachfolgenden Analyse arbeitete Volexity heraus, wie der Angriff möglich war: Die Angreifer nutzen Sicherheitslücken in Büros aus, welche auf der gegenüberliegenden Straßenseite residierten.


Brückenkopf per WLAN
In Zusammenarbeit mit den Systemadministratoren vis-a-vis stellte sich heraus, dass die Angreifer eine Sicherheitslücke im Nachbarsnetzwerk ausnutzen konnten, um sich darin einzunisten. Dann arbeiteten sie sich innerhalb des Netzwerks voran, bis sie ein Gerät kontrollierten, welches sowohl Ethernet-Verbindung als auch eine WLAN-Schnittstelle beherbergte – und in WLAN-Reichweite des Nachbargebäudes war. Darüber nahmen sie eine drahtlose Verbindung zum eigentlichen Ziel auf. Volexity kam diesem neuartigen Kontakt auf die Spur, als sie die Protokolldateien durchforstete. Dabei fiel auf, dass die Verbindung stets über eine drahtlose Verbindung und zudem über einen von drei WLAN-Access-Points im Seminarraum erfolgte – diese boten die beste Erreichbarkeit von gegenüber.

Zweiter Anlauf über anderen Nachbarn
Die ausführliche Schilderung des Vorfalls berichtet von einem Nachspiel, welches der ursprünglichen Attacke folgte: Nachdem die Lücke gestopft schien, gab es kurz darauf weitere illegitime Zugriffe – offenbar aus einem anderen Büro in der Nachbarschaft. Auch deren Netzwerk wurde von der Hacker-Gruppe kompromittiert. Volexity führt den Angriff aufgrund von wiederverwendeten Code-Fragmenten auf eine Gruppe zurück, die sie „GruesomeLarch“ nennt. Sie ist ebenfalls unter dem Namen APT28 und Fancy Bear bekannt. Es wird vermutet, dass es sich dabei um eine staatsnahe russische Organisation handelt.