/cdn.vox-cdn.com/uploads/chorus_asset/file/25844363/IMG_0893.jpeg?w=120&resize=120,86&ssl=1)
Лише після наступного злому, коли Volexity вдалося знайти більш повні журнали трафіку хакерів, його аналітики розгадали таємницю: компанія виявила, що захоплена машина, яку хакери використовували для проникнення в її системи клієнти розкривали ім’я домену, на якому він був розміщений — насправді, назву іншої організації прямо через дорогу. «У той момент було на 100 відсотків зрозуміло, звідки це береться», — каже Адер. «Це не машина на дорозі. Це будівля поруч».
За підтримки цього сусіда Volexity дослідила мережу другої організації та визначила, що певний ноутбук був джерелом вуличного вторгнення Wi-Fi. Хакери зламали цей пристрій, який був підключений до док-станції, підключеної до локальної мережі через Ethernet, а потім увімкнули його Wi-Fi, що дозволило йому діяти як радіореле в цільовій мережі. Volexity виявив, що для проникнення в Wi-Fi цієї цілі хакери використали облікові дані, які вони якимось чином отримали в Інтернеті, але, очевидно, не змогли використати в іншому місці, ймовірно, через двофакторну автентифікацію.
Зрештою Volexity відстежив хакерів у цій другій мережі до двох потенційних точок вторгнення. Здається, хакери зламали пристрій VPN, що належить іншій організації. Але вони також зламали Wi-Fi організації інші пристроїв у мережі в тій самій будівлі, що свідчить про те, що хакери могли підключити до трьох мереж через Wi-Fi, щоб досягти своєї кінцевої цілі. «Хто знає, скільки пристроїв чи мереж вони зламали й зробили це», — каже Адер.
Насправді, навіть після того, як Volexity вигнав хакерів із мережі своїх клієнтів, хакери знову спробували зламати Wi-Fi, цього разу намагаючись отримати доступ до ресурсів, спільних у гостьовій мережі Wi-Fi. «Ці хлопці були надзвичайно наполегливими, — каже Адер. Він каже, що Volexity все ж зміг виявити наступну спробу злому та швидко заблокувати зловмисників.
На початку свого розслідування компанія Volexity припустила, що хакери були російськими за походженням через те, що вони були спрямовані на окремих керівників клієнтської організації, орієнтованої на Україну. Потім у квітні, через два роки після початкового порушення, Microsoft попередила про вразливість у черзі друку Windows, яка була використана російською хакерською групою APT28 — Microsoft називає групу Forest Blizzard — для отримання адміністративних прав на машини. Залишок, залишений на першому комп’ютері, який Volexity проаналізував у зв’язку зі зломом клієнта Wi-Fi, точно відповідав цій техніці. «Це був точний матч сам-на-один, — каже Адейр.
