サイバーセキュリティ企業のVolexityは、ロシアのハッカー集団「GruesomeLarch」（APT28、Forest Blizzard、Sofacyなどの別名を持つ）が、標的となる物理的に近接するWi-Fiネットワークを悪用する新しい攻撃手法を発表した。この攻撃は「Nearest Neighbor Attack」と名付けられ、2022年2月、ロシアのウクライナ侵攻直前に見つかった。

同社は、顧客の標準構成Aのネットワークが不正な活動を detected し、調査を開始した。この調査により、攻撃者が標準構成Aから数千メートル離れた場所から、標準構成AのWi-Fiネットワークに接続することに成功していたことが明らかになった。

攻撃者は、まず標準構成Aの公開サービスにパスワードスプレー攻撃（複数のアカウントで同じパスワードの試みる攻撃の一種）を仕掛け、有効な認証情報を入手。その後、二要素認証（MFA）が実装されていたため、これらの認証情報を公開サービスに対して使用することはできなかったが、標準構成AのWi-Fiネットワークにはそのような保護がなかった。

攻撃は巧妙であった。攻撃者は、標準構成Aの近隣にある別の構成Bに侵入し、そこから有線LANとWi-Fi両方に接続された端末を発見し、その端末のWi-Fiアクセスポイントを利用して標準構成AのWi-Fiネットワークに接続した。

さらに、構成Bへのアクセスは、別の近隣構成Cのネットワークから行われていた。このように、攻撃者は複数の近隣構成を経由して接続を連鎖させ、数千メートル離れた場所から最終的な標的へのアクセスを実現した。

この攻撃を特徴付けるのは、システムにもともと存在するWindowsツールや機能を悪用する「Living off the Land」手法である。これによって、ウイルス対策ソフトなどの検知を回避できた。

また、多要素認証（MFA）を実装していた公開サービスにも侵入できなかったが、MFA保護のないWi-Fiネットワークを経由して内部への侵入に成功した点も注目される。最終的に攻撃者はゲストWi-Fiネットワークを通じて再侵入を試み、これも成功していた。

攻撃者の特定については、米Microsoftが24ヶ月に公表した研究によって、GruesomeLarchの正体が明らかにされた。この集団はウクライナ関連の情報収集を目的として活動していた。実際、この攻撃はロシアのウクライナ侵攻直前に発見されている。