En 2022, des pirates affiliés au groupe russe Fancy Bear (GRU) ont mené une attaque sophistiquée, révélée seulement en 2024 à la conférence Cyberwarcon. Exploitant des failles dans la sécurité Wi-Fi, le sous-groupe GruesomeLarch a utilisé une approche innovante, surnommée Nearest Neighbor Attack, pour compromettre des appareils situés à proximité physique de leur cible. Cette méthode leur a permis de contourner des mesures de sécurité strictes, notamment l’authentification à deux facteurs (2FA), et d'accéder au réseau d'une organisation de grande valeur.L’authentification à deux facteurs, bien qu’efficace pour renforcer la sécurité des données, peut devenir inutile si elle n’est pas mise en œuvre sur tous les points sensibles d’un réseau. Dans ce cas, GruesomeLarch a exploité une vulnérabilité « zero-day » dans le spouleur d’impression de Windows pour compromettre des appareils Wi-Fi voisins. Une fois ces appareils compromis, les pirates ont découvert que les identifiants volés sur des plateformes web protégées par la 2FA fonctionnaient également sur le réseau Wi-Fi de la cible, où le 2FA n’était pas activé.
Infiltration d'un groupe APT via une connexion Wi-Fi vulnerable
Peu avant l'invasion de l'Ukraine par la Russie, une activité suspecte détectée sur le réseau d'une organisation, désignée ici comme « Organisation A », a conduit à l'une des enquêtes sur incident les plus complexes et intrigantes de ces dernières années. Une alerte provenant d’une signature de détection personnalisée a révélé qu’un acteur malveillant avait compromis un serveur au sein de ce réseau.
L'enquête a rapidement confirmé l'implication d'un groupe de menaces persistantes avancées (APT) particulièrement motivé et compétent. Cet acteur utilisait un vecteur d'attaque inédit, encore jamais rencontré, ce qui a rendu l'investigation particulièrement exigeante. À terme, il a été établi que l'attaque provenait d’un groupe russe connu sous différents noms, dont GruesomeLarch, APT28, Forest Blizzard, Sofacy ou Fancy Bear.
L’objectif de l’attaque semblait clair : collecter des informations auprès de personnes impliquées dans des projets ou disposant d'une expertise liée à l'Ukraine. Cette opération met en lumière les stratégies élaborées et les moyens importants déployés par des groupes APT pour cibler des organisations d’intérêt stratégique. L'enquête, qui a duré un mois et demi, a révélé que GruesomeLarch avait réussi à pénétrer dans le réseau de l'organisation A en se connectant au réseau Wi-Fi de l'entreprise. L'acteur de la menace y est parvenu en enchaînant son approche pour compromettre plusieurs organisations à proximité de sa cible, l'organisation A. Cette opération a été réalisée par un acteur de la menace qui se trouvait à des milliers de kilomètres et à un océan de distance de la victime.
Compte tenu de la distance physique supposée, vous vous demandez peut-être comment cet acteur de la menace a pu s'authentifier sur le réseau Wi-Fi d'entreprise de l'organisation A. La première chose à faire, et la plus évidente, est de disposer d'un accès à un réseau Wi-Fi d'entreprise. La première chose à faire, et la plus évidente, est de disposer d'informations d'identification valides. Pour ce faire, des attaques par pulvérisation de mot de passe ont été lancées contre un service public du réseau de l'organisation A afin de valider les informations d'identification. Bien que les informations d'identification aient pu être validées, elles n'ont pas pu être utilisées contre les services publics de l'organisation A en raison de la mise en œuvre de l'authentification multifactorielle (MFA).
Le réseau Wi-Fi de l'entreprise, quant à lui, ne nécessitait pas d'authentification multifactorielle et n'exigeait que le nom d'utilisateur et le mot de passe valides du domaine de l'utilisateur pour s'authentifier. Pendant ce temps, l'auteur de la menace se trouvait à l'autre bout du monde et ne pouvait pas se connecter au réseau Wi-Fi d'entreprise de l'organisation A. Pour surmonter cet obstacle, l'auteur de la menace s'est efforcé de compromettre d'autres organisations situées dans des bâtiments proches des bureaux de l'organisation A. Sa stratégie a consisté à pénétrer dans une autre organisation, puis à se connecter au réseau Wi-Fi de l'entreprise. Sa stratégie consistait à pénétrer dans une autre organisation, puis à se déplacer latéralement au sein de celle-ci pour trouver des systèmes auxquels il pouvait accéder et qui étaient dotés d'une double connexion (c'est-à-dire d'une connexion à la fois filaire et sans fil).
Une fois qu'il a trouvé un système connecté au réseau via une connexion Ethernet câblée, l'acteur de la menace accède au système et utilise son adaptateur Wi-Fi. Il se connecte alors au SSID du réseau Wi-Fi d'entreprise de l'organisation A et s'authentifie, ce qui lui permet d'accéder au réseau de l'organisation A.
Compromission Wi-Fi : l’art de l’accès rapproché en cybersécurité
Au début de l’enquête, l’attaquant a cessé toute activité apparente après l’incident initial, rendant son identification difficile. Une adresse IP suspecte a été détectée, mais son origine n’a pu être confirmée, et les systèmes de surveillance installés sur le réseau de l’organisation n’ont révélé que peu de traces. Pendant un temps, les pistes disponibles se sont avérées infructueuses, stoppant l’avancée de l’analyse.
L’attaquant a fini par réapparaître, permettant de collecter des informations cruciales. L’origine de l’adresse IP utilisée a été localisée sur le réseau Wi-Fi interne de l’organisation, mais aucune trace n’apparaissait dans les journaux DHCP du réseau. Ce n’est qu’après avoir accédé au contrôleur sans fil de l’organisation, chargé de gérer les points d’accès et l’infrastructure Wi-Fi, qu’une avancée significative a été réalisée. Les données du contrôleur ont permis de relier une adresse IP suspecte à une adresse MAC spécifique et à un compte utilisateur authentifié sur le réseau.
L’examen des journaux RADIUS a révélé des événements d’authentification associés à cette adresse MAC et à différents comptes utilisateur, notamment durant la période de la compromission initiale. Il est apparu qu’un mot de passe expiré avait temporairement empêché l’attaquant d’accéder à un compte, mais celui-ci avait réussi à contourner cet obstacle en utilisant un autre identifiant volé peu après.
Les investigations ont également mis en évidence une attaque par pulvérisation de mots de passe sur un service web exposé à Internet, protégé par une authentification multifactorielle (MFA). Bien que la MFA ait bloqué l’accès direct au service, l’attaquant l’a exploité pour tester la validité des identifiants, compromettant ainsi trois comptes. Deux de ces comptes étaient déjà liés aux journaux du réseau sans fil.
Malgré la découverte de ces identifiants compromis, la localisation physique de l’attaquant restait incertaine. Une analyse approfondie des données du contrôleur sans fil a permis d’identifier les points d’accès utilisés et de cartographier leur emplacement dans le bâtiment. Ces points d’accès se trouvaient tous dans une salle de conférence à l’extrémité du bâtiment, près de fenêtres donnant sur la rue. Cela a conduit à une conclusion surprenante : l’attaquant ne se trouvait probablement pas à l’intérieur du bâtiment, mais opérait depuis l’extérieur, menant potentiellement une opération d’accès rapproché depuis la rue. Cette découverte a marqué un tournant dans l’enquête, ouvrant la voie à une meilleure compréhension de la méthode utilisée.
Ne faites confiance à personne, pas même à vos voisins
Au cours de l’enquête, des mesures correctives ont été mises en œuvre pour améliorer la sécurité et la visibilité réseau de l’organisation ciblée. Ces améliorations ont joué un rôle crucial en permettant une meilleure détection des activités suspectes. Malgré la réinitialisation des identifiants compromis, y compris ceux issus des attaques par pulvérisation de mots de passe, l’attaquant avait encore accès à des identifiants de domaine valides, ce qui lui a permis de regagner le réseau Wi-Fi de l’entreprise.
Cependant, grâce aux nouvelles capacités de surveillance, toute activité réseau impliquant des systèmes connectés au Wi-Fi était désormais enregistrée et analysée. Cette surveillance a révélé des requêtes NetBIOS Name Service (NBNS) émanant du système utilisé par l’attaquant. Ces requêtes ont permis d’identifier le nom de l’ordinateur de l’attaquant ainsi que le domaine Active Directory auquel il était rattaché. Ces indices ont conduit à une révélation majeure : l’attaquant se connectait depuis un bâtiment situé juste en face des locaux de l’organisation.
Le système en question était configuré pour une double connectivité, utilisant à la fois une connexion Ethernet câblée pour l’accès Internet et un adaptateur Wi-Fi actif simultanément. En exploitant cette configuration, l’attaquant avait identifié un appareil à portée, compromis son réseau sans fil et utilisé un script PowerShell personnalisé pour sonder les réseaux disponibles à proximité. À l’aide des identifiants volés, il s’était connecté au réseau Wi-Fi de l’organisation, exploitant sa proximité physique pour maintenir un accès clandestin.
L’urgence d’une défense globale face aux cyberattaques sophistiquées
L’attaque orchestrée par le groupe GruesomeLarch met en lumière plusieurs enjeux essentiels de la cybersécurité moderne, soulignant l’urgence d’une approche globale et proactive pour protéger les réseaux d’entreprise. Cette opération sophistiquée, combinant des méthodes d’accès rapproché et l’exploitation de vulnérabilités organisationnelles, révèle la capacité des menaces persistantes avancées (APT) à déjouer les systèmes de défense traditionnels.
Elle met également en évidence l’importance cruciale d’une sécurité Wi-Fi renforcée. Les failles des réseaux sans fil, telles que l’utilisation de protocoles obsolètes comme le WEP ou des configurations inadéquates des routeurs, exposent les utilisateurs à des cyberattaques variées : détournement des paramètres DNS, interception de trafic ou accès non autorisé à des données sensibles. Cette problématique est amplifiée dans les environnements publics mal sécurisés, tels que les cafés ou les espaces partagés, où le risque d’exposition est encore plus élevé.
Un autre aspect critique est la sous-estimation des risques et la vision parfois trop restreinte des vecteurs d’attaque possibles. Les avancées technologiques des APT, qui combinent habilement des techniques numériques et physiques, imposent une reconfiguration profonde des stratégies de sécurité. Il ne suffit plus de sécuriser les points d’entrée évidents : il faut anticiper les approches alternatives qu’un attaquant pourrait emprunter.
Par ailleurs, cette attaque illustre clairement l’interconnexion croissante entre cybersécurité et géopolitique. En ciblant des organisations liées à des dossiers sensibles comme l'Ukraine, elle s’inscrit dans une stratégie plus large où la cybersécurité devient un enjeu de souveraineté et de défense nationale. Cela souligne que la sécurisation des systèmes informatiques ne relève pas uniquement d’un impératif technique, mais également d’une nécessité stratégique.
Pour prévenir de telles menaces, les organisations doivent mettre en œuvre des mesures globales et stratégiques. Cela inclut l’activation de l’authentification à deux facteurs (2FA) sur tous les points d’accès critiques, l’adoption de protocoles de chiffrement modernes comme le WPA3, et le renforcement de la sécurité des routeurs, qu’ils soient professionnels ou domestiques. Les enseignements tirés de cette attaque rappellent que seule une approche holistique de la cybersécurité, combinant technologies avancées, bonnes pratiques organisationnelles et vigilance accrue, permet de faire face à des adversaires aussi sophistiqués et déterminés.
Le coût de l’inaction ou d’une protection insuffisante est bien trop élevé, non seulement pour les entreprises concernées, mais également pour la sécurité collective. Adopter une posture de défense proactive est une nécessité absolue dans un contexte où les cybermenaces évoluent rapidement et de manière toujours plus ciblée.
Source : Volexity
Et vous ?
Quel est votre avis sur le sujet ? Quelles mesures préventives les organisations devraient-elles adopter pour sécuriser leurs réseaux Wi-Fi contre les attaques de groupes APT comme celle-ci ? Comment les entreprises peuvent-elles mieux intégrer la cybersécurité physique et numérique pour prévenir les attaques ciblant à la fois les infrastructures internes et les connexions sans fil externes ?Voir aussi :
Le WiFi 7 est prêt à se populariser avec le lancement du programme Wi-Fi CERTIFIED 7, il garantit l'interopérabilité entre les appareils de différentes marques Le Wi-Fi s'étend sur une longue distance grâce à la nouvelle norme de communication intertechnologique WiLo qui pourrait être à la base des villes intelligentes et des réseaux de capteurs agricoles