Erst nach dem nächsten Einbruch, als es Volexity gelang, umfassendere Protokolle über den Datenverkehr der Hacker zu erhalten, lösten die Analysten des Unternehmens das Rätsel: Das Unternehmen stellte fest, dass der Name der gekaperten Maschine, mit der die Hacker in den Systemen seiner Kunden herumschnüffelten, durchsickerte der Domain, auf der es gehostet wurde – tatsächlich der Name einer anderen Organisation auf der anderen Straßenseite. „Zu diesem Zeitpunkt war zu 100 Prozent klar, woher es kam“, sagt Adair. „Es ist kein Auto auf der Straße. Es ist das Gebäude nebenan.“
In Zusammenarbeit mit diesem Nachbarn untersuchte Volexity das Netzwerk dieser zweiten Organisation und stellte fest, dass ein bestimmter Laptop die Quelle des WLAN-Einbruchs auf der Straße war. Die Hacker waren in dieses Gerät eingedrungen, das an eine Dockingstation angeschlossen war, die über Ethernet mit dem lokalen Netzwerk verbunden war, und schalteten dann sein WLAN ein, sodass es als funkbasiertes Relais im Zielnetzwerk fungieren konnte. Volexity stellte fest, dass die Hacker für den Einbruch in das WLAN des Ziels Zugangsdaten verwendet hatten, die sie irgendwie online erhalten hatten, die sie aber offenbar anderswo nicht ausnutzen konnten, wahrscheinlich aufgrund der Zwei-Faktor-Authentifizierung.
Volexity verfolgte schließlich die Hacker in diesem zweiten Netzwerk bis zu zwei möglichen Angriffspunkten. Offenbar hatten die Hacker eine VPN-Appliance der anderen Organisation manipuliert. Sie seien aber auch in das WLAN der Organisation eingebrochen ein anderer Netzwerkgeräte im selben Gebäude, was darauf hindeutet, dass die Hacker möglicherweise bis zu drei Netzwerke über WLAN miteinander verbunden haben, um ihr endgültiges Ziel zu erreichen. „Wer weiß, wie viele Geräte oder Netzwerke sie kompromittiert und dies getan haben“, sagt Adair.
Selbst nachdem Volexity die Hacker aus dem Netzwerk ihres Kunden vertrieben hatte, versuchten die Hacker im Frühjahr erneut, über WLAN einzudringen, diesmal mit dem Versuch, auf Ressourcen zuzugreifen, die im WLAN-Gastnetzwerk gemeinsam genutzt wurden. „Diese Jungs waren super hartnäckig“, sagt Adair. Er sagt, dass Volexity diesen nächsten Einbruchsversuch jedoch erkennen und die Eindringlinge schnell aussperren konnte.
Volexity hatte in seinen Ermittlungen schon früh vermutet, dass die Hacker russischer Herkunft waren, da sie einzelne Mitarbeiter der auf die Ukraine konzentrierten Kundenorganisation ins Visier genommen hatten. Dann im April, volle zwei Jahre nach dem ursprünglichen Eingriff, Microsoft warnte vor einer Sicherheitslücke im Windows-Druckspooler die von der russischen Hackergruppe APT28 – Microsoft bezeichnet die Gruppe als Forest Blizzard – genutzt wurde, um Administratorrechte auf Zielcomputern zu erlangen. Überreste, die auf dem allerersten Computer zurückblieben, den Volexity bei dem Wi-Fi-basierten Einbruch seines Kunden analysiert hatte, stimmten genau mit dieser Technik überein. „Es war eine exakte Eins-zu-eins-Übereinstimmung“, sagt Adair.
