只有在下一次入侵之後,Volexity成功獲取了黑客流量的更完整日誌,分析師才解開了這個謎團:該公司發現,黑客用來在其客戶系統中挖掘的被劫持機器正在洩漏其所托管域名的名稱——實際上,是位於街對面的另一家組織的名稱。“那時候,來源已經百分之百清楚,”阿代爾說。“這不是街上的車,而是隔壁的建築。”
在那位鄰居的合作下,Volexity調查了那家第二組織的網絡,發現某台筆記本電腦是街道跳躍Wi-Fi入侵的源頭。黑客已經滲透進該設備,該設備通過以太網連接到本地網絡的擴展坞,然後開啟了Wi-Fi,使其能夠作為進入目標網絡的無線中繼。Volexity發現,為了侵入該目標的Wi-Fi,黑客使用了他們以某種方式在線獲得的憑證,但顯然在其他地方無法利用,可能是由於雙因素身份驗證的原因。
Volexity最終在那個第二網絡上追蹤到黑客的兩個可能入侵點。黑客似乎已經破壞了另一組織擁有的VPN設備。但他們也從同一棟大樓的其他網絡設備入侵了該組織的Wi-Fi,這表明黑客可能通過Wi-Fi將多達三個網絡串聯起來,以達到他們的最終目標。“誰知道他們破壞了多少設備或網絡,並在上面進行了這樣的行為,”阿代爾說。
事實上,即使在Volexity將黑客驅逐出其客戶的網絡之後,黑客在那年春天再次嘗試通過Wi-Fi入侵,這次試圖訪問在客人Wi-Fi網絡上共享的資源。“這些人真的是超級堅持,”阿代爾說。不過,他表示Volexity能夠檢測到這次的入侵嘗試,並迅速將入侵者鎖定。
Volexity早期在調查中假設黑客源於俄羅斯,因為他們專門針對了專注於烏克蘭的客戶組織中的個別員工。然後在四月,距離最初的入侵整整兩年,微軟警告Windows打印緩衝區存在一個漏洞,該漏洞被俄羅斯的APT28黑客組織使用——微軟將該組織稱為“森林暴風雪”,以獲取目標機器的管理權限。Volexity在Wi-Fi基礎上對客戶進行的第一次分析中留下的殘留物完全符合該技術。“這是一個精確的一對一匹配,”阿代爾說。
