Dopiero po kolejnym włamaniu, gdy firmie Volexity udało się uzyskać pełniejsze logi ruchu hakerów, analitycy rozwiązali zagadkę: firma odkryła, że porwana maszyna, której hakerzy używali do szperania w systemach jej klientów, ujawniała nazwę domeny, w której był hostowany — a właściwie nazwy innej organizacji po drugiej stronie ulicy. „W tym momencie było już w stu procentach jasne, skąd pochodzi sygnał” – mówi Adair. „To nie jest samochód na ulicy. To budynek obok.”
We współpracy z sąsiadem firma Volexity zbadała sieć tej drugiej organizacji i odkryła, że źródłem włamania do sieci Wi-Fi było pewien laptop. Hakerzy przeniknęli do tego urządzenia, które było podłączone do stacji dokującej podłączonej do sieci lokalnej poprzez Ethernet, a następnie włączyli Wi-Fi, dzięki czemu mogło działać jako przekaźnik radiowy w sieci docelowej. Volexity odkryło, że aby włamać się do sieci Wi-Fi celu, hakerzy wykorzystali dane uwierzytelniające, które w jakiś sposób uzyskali w Internecie, ale najwyraźniej nie mogli ich wykorzystać gdzie indziej, prawdopodobnie ze względu na uwierzytelnianie dwuskładnikowe.
Ostatecznie Volexity wyśledził hakerów w drugiej sieci w dwóch możliwych punktach włamania. Wygląda na to, że hakerzy włamali się do urządzenia VPN należącego do drugiej organizacji. Ale włamali się także do Wi-Fi organizacji inny urządzeń sieciowych w tym samym budynku, co sugeruje, że hakerzy mogli połączyć łańcuchowo aż trzy sieci za pośrednictwem Wi-Fi, aby dotrzeć do ostatecznego celu. „Kto wie, na ilu urządzeniach lub sieciach doszło do naruszenia bezpieczeństwa i na których to robili” – mówi Adair.
W rzeczywistości nawet po tym, jak firma Volexity eksmitowała hakerów z sieci swojego klienta, tej wiosny hakerzy ponownie próbowali włamać się przez Wi-Fi, tym razem próbując uzyskać dostęp do zasobów udostępnionych w gościnnej sieci Wi-Fi. „Ci goście byli niezwykle wytrwali” – mówi Adair. Mówi, że Volexity był jednak w stanie wykryć kolejną próbę włamania i szybko zablokować intruzów.
Na początku dochodzenia firma Volexity założyła, że hakerzy byli pochodzenia rosyjskiego, ponieważ ich atakami byli poszczególni pracownicy organizacji klienta skupionej na Ukrainie. Następnie w kwietniu, dokładnie dwa lata po pierwotnym włamaniu, Microsoft ostrzegł o luce w buforze wydruku systemu Windows który był używany przez rosyjską grupę hakerów APT28 — Microsoft nazywa tę grupę Forest Blizzard — w celu uzyskania uprawnień administracyjnych na docelowych komputerach. Pozostałości pozostawione na pierwszym komputerze, który Volexity przeanalizował w związku z włamaniem do sieci Wi-Fi swojego klienta, dokładnie pasowały do tej techniki. „To był dokładny mecz jeden na jednego” – mówi Adair.
