Μόνο μετά την επόμενη εισβολή, όταν η Volexity κατάφερε να βρει πιο ολοκληρωμένα αρχεία καταγραφής της κίνησης των χάκερ, οι αναλυτές της έλυσαν το μυστήριο: Η εταιρεία διαπίστωσε ότι το μηχάνημα που είχαν καταληφθεί από την αεροπειρατεία που χρησιμοποιούσαν οι χάκερ για να σκάψουν στα συστήματα των πελατών της διέρρεε το όνομα του τομέα στον οποίο φιλοξενήθηκε — στην πραγματικότητα, το όνομα ενός άλλου οργανισμού ακριβώς απέναντι. «Σε εκείνο το σημείο, ήταν 100 τοις εκατό σαφές από πού προερχόταν», λέει ο Adair. «Δεν είναι αυτοκίνητο στο δρόμο. Είναι το διπλανό κτίριο».

Με τη συνεργασία αυτού του γείτονα, το Volexity ερεύνησε το δίκτυο του δεύτερου οργανισμού και διαπίστωσε ότι ένας συγκεκριμένος φορητός υπολογιστής ήταν η πηγή της εισβολής Wi-Fi που πηδούσε στο δρόμο. Οι χάκερ είχαν εισχωρήσει σε αυτή τη συσκευή, η οποία ήταν συνδεδεμένη σε μια αποβάθρα συνδεδεμένη στο τοπικό δίκτυο μέσω Ethernet και στη συνέχεια ενεργοποίησαν το Wi-Fi της, επιτρέποντάς της να λειτουργεί ως ρελέ ραδιοφώνου στο δίκτυο-στόχο. Το Volexity διαπίστωσε ότι, για να εισβάλουν στο Wi-Fi αυτού του στόχου, οι χάκερ είχαν χρησιμοποιήσει διαπιστευτήρια που είχαν αποκτήσει με κάποιο τρόπο στο Διαδίκτυο, αλλά προφανώς δεν μπορούσαν να εκμεταλλευτούν αλλού, πιθανότατα λόγω ελέγχου ταυτότητας δύο παραγόντων.

Το Volexity εντόπισε τελικά τους χάκερ σε αυτό το δεύτερο δίκτυο σε δύο πιθανά σημεία εισβολής. Οι χάκερ φάνηκε να έχουν παραβιάσει μια συσκευή VPN που ανήκει στον άλλο οργανισμό. Αλλά είχαν διαρρήξει και το Wi-Fi της οργάνωσης από άλλος συσκευές του δικτύου στο ίδιο κτίριο, υποδηλώνοντας ότι οι χάκερ μπορεί να έχουν συνδέσει έως και τρία δίκτυα μέσω Wi-Fi για να φτάσουν στον τελικό τους στόχο. «Ποιος ξέρει πόσες συσκευές ή δίκτυα παραβίασαν και το έκαναν αυτό», λέει ο Adair.

Στην πραγματικότητα, ακόμη και αφού το Volexity έδιωξε τους χάκερ από το δίκτυο των πελατών τους, οι χάκερ προσπάθησαν ξανά εκείνη την άνοιξη να εισβάλουν μέσω Wi-Fi, αυτή τη φορά προσπαθώντας να αποκτήσουν πρόσβαση σε πόρους που ήταν κοινόχρηστοι στο δίκτυο Wi-Fi επισκεπτών. «Αυτοί οι τύποι ήταν εξαιρετικά επίμονοι», λέει ο Adair. Λέει ότι το Volexity κατάφερε ωστόσο να εντοπίσει αυτήν την επόμενη προσπάθεια παραβίασης και να κλειδώσει γρήγορα τους εισβολείς.

Η Volexity είχε υποθέσει νωρίς στην έρευνά της ότι οι χάκερ ήταν Ρώσοι στην καταγωγή, λόγω της στόχευσης μεμονωμένων στελεχών στην οργάνωση πελατών που επικεντρωνόταν στην Ουκρανία. Στη συνέχεια, τον Απρίλιο, δύο χρόνια μετά την αρχική εισβολή, η Microsoft προειδοποίησε για μια ευπάθεια στην ουρά εκτύπωσης των Windows που είχε χρησιμοποιηθεί από τη ρωσική ομάδα χάκερ APT28 -η Microsoft αναφέρεται στην ομάδα ως Forest Blizzard- για να αποκτήσει δικαιώματα διαχείρισης σε μηχανές-στόχους. Τα υπολείμματα που άφησαν πίσω στον πρώτο υπολογιστή που είχε αναλύσει η Volexity στην παραβίαση του πελάτη της βάσει Wi-Fi ταίριαζαν ακριβώς με αυτήν την τεχνική. «Ήταν ένας ακριβής αγώνας ένας προς έναν», λέει ο Adair.