Des espions exploitent des réseaux Wi-Fi distants pour attaquer une cible voisine,

En utilisant une méthode innovante, appelée Nearest Neighbor Attack

Des espions exploitent des réseaux Wi-Fi distants pour attaquer une cible voisine
en utilisant une méthode innovante, appelée Nearest Neighbor Attack

En 2022, des pirates affiliés au groupe russe Fancy Bear (GRU) ont mené une attaque sophistiquée, révélée seulement en 2024 à la conférence Cyberwarcon. Exploitant des failles dans la sécurité Wi-Fi, le sous-groupe GruesomeLarch a utilisé une approche innovante, surnommée Nearest Neighbor Attack, pour compromettre des appareils situés à proximité physique de leur cible. Cette méthode leur a permis de contourner des mesures de sécurité strictes, notamment l’authentification à deux facteurs (2FA), et d'accéder au réseau d'une organisation de grande valeur.


L’authentification à deux facteurs, bien qu’efficace pour renforcer la sécurité des données, peut devenir inutile si elle n’est pas mise en œuvre sur tous les points sensibles d’un réseau. Dans ce cas, GruesomeLarch a exploité une vulnérabilité « zero-day » dans le spouleur d’impression de Windows pour compromettre des appareils Wi-Fi voisins. Une fois ces appareils compromis, les pirates ont découvert que les identifiants volés sur des plateformes web protégées par la 2FA fonctionnaient également sur le réseau Wi-Fi de la cible, où le 2FA n’était pas activé.

Infiltration d'un groupe APT via une connexion Wi-Fi vulnerable

Peu avant l'invasion de l'Ukraine par la Russie, une activité suspecte détectée sur le réseau d'une organisation, désignée ici comme « Organisation A », a conduit à l'une des enquêtes sur incident les plus complexes et intrigantes de ces dernières années. Une alerte provenant d’une signature de détection personnalisée a révélé qu’un acteur malveillant avait compromis un serveur au sein de ce réseau.

L'enquête a rapidement confirmé l'implication d'un groupe de menaces persistantes avancées (APT) particulièrement motivé et compétent. Cet acteur utilisait un vecteur d'attaque inédit, encore jamais rencontré, ce qui a rendu l'investigation particulièrement exigeante. À terme, il a été établi que l'attaque provenait d’un groupe russe connu sous différents noms, dont GruesomeLarch, APT28, Forest Blizzard, Sofacy ou Fancy Bear.

L’objectif de l’attaque semblait clair : collecter des informations auprès de personnes impliquées dans des projets ou disposant d'une expertise liée à l'Ukraine. Cette opération met en lumière les stratégies élaborées et les moyens importants déployés par des groupes APT pour cibler des organisations d’intérêt stratégique. L'enquête, qui a duré un mois et demi, a révélé que GruesomeLarch avait réussi à pénétrer dans le réseau de l'organisation A en se connectant au réseau Wi-Fi de l'entreprise. L'acteur de la menace y est parvenu en enchaînant son approche pour compromettre plusieurs organisations à proximité de sa cible, l'organisation A. Cette opération a été réalisée par un acteur de la menace qui se trouvait à des milliers de kilomètres et à un océan de distance de la victime.

Compte tenu de la distance physique supposée, vous vous demandez peut-être comment cet acteur de la menace a pu s'authentifier sur le réseau Wi-Fi d'entreprise de l'organisation A. La première chose à faire, et la plus évidente, est de disposer d'un accès à un réseau Wi-Fi d'entreprise. La première chose à faire, et la plus évidente, est de disposer d'informations d'identification valides. Pour ce faire, des attaques par pulvérisation de mot de passe ont été lancées contre un service public du réseau de l'organisation A afin de valider les informations d'identification. Bien que les informations d'identification aient pu être validées, elles n'ont pas pu être utilisées contre les services publics de l'organisation A en raison de la mise en œuvre de l'authentification multifactorielle (MFA).

Le réseau Wi-Fi de l'entreprise, quant à lui, ne nécessitait pas d'authentification multifactorielle et n'exigeait que le nom d'utilisateur et le mot de passe valides du domaine de l'utilisateur pour s'authentifier. Pendant ce temps, l'auteur de la menace se trouvait à l'autre bout du monde et ne pouvait pas se connecter au réseau Wi-Fi d'entreprise de l'organisation A. Pour surmonter cet obstacle, l'auteur de la menace s'est efforcé de compromettre d'autres organisations situées dans des bâtiments proches des bureaux de l'organisation A. Sa stratégie a consisté à pénétrer dans une autre organisation, puis à se connecter au réseau Wi-Fi de l'entreprise. Sa stratégie consistait à pénétrer dans une autre organisation, puis à se déplacer latéralement au sein de celle-ci pour trouver des systèmes auxquels il pouvait accéder et qui étaient dotés d'une double connexion (c'est-à-dire d'une connexion à la fois filaire et sans fil).

Une fois qu'il a trouvé un système connecté au réseau via une connexion Ethernet câblée, l'acteur de la menace accède au système et utilise son adaptateur Wi-Fi. Il se connecte alors au SSID du réseau Wi-Fi d'entreprise de l'organisation A et s'authentifie, ce qui lui permet d'accéder au réseau de l'organisation A.

Compromission Wi-Fi : l’art de l’accès rapproché en cybersécurité

Au début de l’enquête, l’attaquant a cessé toute activité apparente après l’incident initial, rendant son identification difficile. Une adresse IP suspecte a été détectée, mais son origine n’a pu être confirmée, et les systèmes de surveillance installés sur le réseau de l’organisation n’ont révélé que peu de traces. Pendant un temps, les pistes disponibles se sont avérées infructueuses, stoppant l’avancée de l’analyse.

L’attaquant a fini par réapparaître, permettant de collecter des informations cruciales. L’origine de l’adresse IP utilisée a été localisée sur le réseau Wi-Fi interne de l’organisation, mais aucune trace n’apparaissait dans les journaux DHCP du réseau. Ce n’est qu’après avoir accédé au contrôleur sans fil de l’organisation, chargé de gérer les points d’accès et l’infrastructure Wi-Fi, qu’une avancée significative a été réalisée. Les données du contrôleur ont permis de relier une adresse IP suspecte à une adresse MAC spécifique et à un compte utilisateur authentifié sur le réseau.

L’examen des journaux RADIUS a révélé des événements d’authentification associés à cette adresse MAC et à différents comptes utilisateur, notamment durant la période de la compromission initiale. Il est apparu qu’un mot de passe expiré avait temporairement empêché l’attaquant d’accéder à un compte, mais celui-ci avait réussi à contourner cet obstacle en utilisant un autre identifiant volé peu après.

Les investigations ont également mis en évidence une attaque par pulvérisation de mots de passe sur un service web exposé à Internet, protégé par une authentification multifactorielle (MFA). Bien que la MFA ait bloqué l’accès direct au service, l’attaquant l’a exploité pour tester la validité des identifiants, compromettant ainsi trois comptes. Deux de ces comptes étaient déjà liés aux journaux du réseau sans fil.

Malgré la découverte de ces identifiants compromis, la localisation physique de l’attaquant restait incertaine. Une analyse approfondie des données du contrôleur sans fil a permis d’identifier les points d’accès utilisés et de cartographier leur emplacement dans le bâtiment. Ces points d’accès se trouvaient tous dans une salle de conférence à l’extrémité du bâtiment, près de fenêtres donnant sur la rue. Cela a conduit à une conclusion surprenante : l’attaquant ne se trouvait probablement pas à l’intérieur du bâtiment, mais opérait depuis l’extérieur, menant potentiellement une opération d’accès rapproché depuis la rue. Cette découverte a marqué un tournant dans l’enquête, ouvrant la voie à une meilleure compréhension de la méthode utilisée.

Ne faites confiance à personne, pas même à vos voisins

Au cours de l’enquête, des mesures correctives ont été mises en œuvre pour améliorer la sécurité et la visibilité réseau de l’organisation ciblée. Ces améliorations ont joué un rôle crucial en permettant une meilleure détection des activités suspectes. Malgré la réinitialisation des identifiants compromis, y compris ceux issus des attaques par pulvérisation de mots de passe, l’attaquant avait encore accès à des identifiants de domaine valides, ce qui lui a permis de regagner le réseau Wi-Fi de l’entreprise.

Cependant, grâce aux nouvelles capacités de surveillance, toute activité réseau impliquant des systèmes connectés au Wi-Fi était désormais enregistrée et analysée. Cette surveillance a révélé des requêtes NetBIOS Name Service (NBNS) émanant du système utilisé par l’attaquant. Ces requêtes ont permis d’identifier le nom de l’ordinateur de l’attaquant ainsi que le domaine Active Directory auquel il était rattaché. Ces indices ont conduit à une révélation majeure : l’attaquant se connectait depuis un bâtiment situé juste en face des locaux de l’organisation.

Le système en question était configuré pour une double connectivité, utilisant à la fois une connexion Ethernet câblée pour l’accès Internet et un adaptateur Wi-Fi actif simultanément. En exploitant cette configuration, l’attaquant avait identifié un appareil à portée, compromis son réseau sans fil et utilisé un script PowerShell personnalisé pour sonder les réseaux disponibles à proximité. À l’aide des identifiants volés, il s’était connecté au réseau Wi-Fi de l’organisation, exploitant sa proximité physique pour maintenir un accès clandestin.

L’urgence d’une défense globale face aux cyberattaques sophistiquées

L’attaque orchestrée par le groupe GruesomeLarch met en lumière plusieurs enjeux essentiels de la cybersécurité moderne, soulignant l’urgence d’une approche globale et proactive pour protéger les réseaux d’entreprise. Cette opération sophistiquée,...