Setelah intrusi berikutnya, ketika Volexity berhasil mendapatkan log yang lebih lengkap tentang lalu lintas hacker, analisnya berhasil memecahkan misteri: Perusahaan menemukan bahwa mesin yang diretas yang digunakan oleh para hacker untuk mengintip sistem pelanggannya bocor nama domain tempat mesin itu dihosting – sebenarnya, nama organisasi lain tepat di seberang jalan. “Pada titik itu, sudah 100 persen jelas dari mana asalnya,” kata Adair. “Ini bukan mobil di jalan. Itu gedung di sebelah.” Dengan kerja sama dari tetangga tersebut, Volexity menyelidiki jaringan organisasi kedua dan menemukan bahwa laptop tertentu adalah sumber intrusi Wi-Fi yang melompat ke jalan. Para hacker telah menembus perangkat tersebut, yang terhubung ke dock terhubung ke jaringan lokal melalui Ethernet, lalu mengaktifkan Wi-Fi, memungkinkannya untuk bertindak sebagai relay berbasis radio ke jaringan target. Volexity menemukan bahwa, untuk meretas Wi-Fi target itu, para hacker telah menggunakan kredensial yang mereka somehow dapatkan secara online tetapi tampaknya tidak dapat dieksploitasi di tempat lain, kemungkinan karena otentikasi dua faktor. Volexity akhirnya melacak para hacker di jaringan kedua itu ke dua titik intrusi yang mungkin. Para hacker nampaknya telah meretas perangkat VPN yang dimiliki oleh organisasi lain. Tetapi mereka juga telah meretas Wi-Fi organisasi dari perangkat jaringan lain di gedung yang sama, menunjukkan bahwa para hacker mungkin telah menghubungkan tiga jaringan melalui Wi-Fi untuk mencapai target akhir mereka. “Siapa yang tahu berapa banyak perangkat atau jaringan yang mereka retas dan lakukan ini,” kata Adair. Bahkan setelah Volexity mengusir para hacker dari jaringan pelanggannya, para hacker mencoba lagi pada musim semi itu untuk meretas melalui Wi-Fi, kali ini mencoba mengakses sumber daya yang dibagikan di jaringan Wi-Fi tamu. “Orang-orang ini sangat gigih,” kata Adair. Dia mengatakan bahwa Volexity dapat mendeteksi upaya pelanggaran berikutnya ini, namun, dan dengan cepat mengunci para intruder. Volexity telah mengasumsikan sejak awal dalam penyelidikannya bahwa para hacker berasal dari Rusia karena mereka menargetkan staf individu di organisasi pelanggan yang fokus pada Ukraina. Kemudian pada bulan April, dua tahun penuh setelah intrusi asli, Microsoft memperingatkan tentang kerentanan dalam print spooler Windows yang telah digunakan oleh kelompok hacker APT28 Rusia – Microsoft merujuk kelompok tersebut sebagai Badai Hutan – untuk mendapatkan hak administratif pada mesin target. Sisa-sisa yang ditinggalkan di komputer pertama yang dianalisis oleh Volexity dalam pelanggaran berbasis Wi-Fi dari pelanggan itu persis cocok dengan teknik itu. “Itu adalah kecocokan satu lawan satu yang persis,” kata Adair.
