En 2022, des pirates affilis au groupe russe Fancy Bear (GRU) ont men une attaque sophistique, rvle seulement en 2024 la confrence Cyberwarcon. Exploitant des failles dans la scurit Wi-Fi, le sous-groupe GruesomeLarch a utilis une approche innovante, surnomme Nearest Neighbor Attack, pour compromettre des appareils situs proximit physique de leur cible. Cette mthode leur a permis de contourner des mesures de scurit strictes, notamment lauthentification deux facteurs (2FA), et d’accder au rseau d’une organisation de grande valeur.
Lauthentification deux facteurs, bien quefficace pour renforcer la scurit des donnes, peut devenir inutile si elle nest pas mise en uvre sur tous les points sensibles dun rseau. Dans ce cas, GruesomeLarch a exploit une vulnrabilit zero-day dans le spouleur dimpression de Windows pour compromettre des appareils Wi-Fi voisins. Une fois ces appareils compromis, les pirates ont dcouvert que les identifiants vols sur des plateformes web protges par la 2FA fonctionnaient galement sur le rseau Wi-Fi de la cible, o le 2FA ntait pas activ.
Infiltration d’un groupe APT via une connexion Wi-Fi vulnerable
Peu avant l’invasion de l’Ukraine par la Russie, une activit suspecte dtecte sur le rseau d’une organisation, dsigne ici comme Organisation A , a conduit l’une des enqutes sur incident les plus complexes et intrigantes de ces dernires annes. Une alerte provenant dune signature de dtection personnalise a rvl quun acteur malveillant avait compromis un serveur au sein de ce rseau.
L’enqute a rapidement confirm l’implication d’un groupe de menaces persistantes avances (APT) particulirement motiv et comptent. Cet acteur utilisait un vecteur d’attaque indit, encore jamais rencontr, ce qui a rendu l’investigation particulirement exigeante. terme, il a t tabli que l’attaque provenait dun groupe russe connu sous diffrents noms, dont GruesomeLarch, APT28, Forest Blizzard, Sofacy ou Fancy Bear.
Lobjectif de lattaque semblait clair : collecter des informations auprs de personnes impliques dans des projets ou disposant d’une expertise lie l’Ukraine. Cette opration met en lumire les stratgies labores et les moyens importants dploys par des groupes APT pour cibler des organisations dintrt stratgique. L’enqute, qui a dur un mois et demi, a rvl que GruesomeLarch avait russi pntrer dans le rseau de l’organisation A en se connectant au rseau Wi-Fi de l’entreprise. L’acteur de la menace y est parvenu en enchanant son approche pour compromettre plusieurs organisations proximit de sa cible, l’organisation A. Cette opration a t ralise par un acteur de la menace qui se trouvait des milliers de kilomtres et un ocan de distance de la victime.
Compte tenu de la distance physique suppose, vous vous demandez peut-tre comment cet acteur de la menace a pu s’authentifier sur le rseau Wi-Fi d’entreprise de l’organisation A. La premire chose faire, et la plus vidente, est de disposer d’un accs un rseau Wi-Fi d’entreprise. La premire chose faire, et la plus vidente, est de disposer d’informations d’identification valides. Pour ce faire, des attaques par pulvrisation de mot de passe ont t lances contre un service public du rseau de l’organisation A afin de valider les informations d’identification. Bien que les informations d’identification aient pu tre valides, elles n’ont pas pu tre utilises contre les services publics de l’organisation A en raison de la mise en uvre de l’authentification multifactorielle (MFA).
Le rseau Wi-Fi de l’entreprise, quant lui, ne ncessitait pas d’authentification multifactorielle et n’exigeait que le nom d’utilisateur et le mot de passe valides du domaine de l’utilisateur pour s’authentifier. Pendant ce temps, l’auteur de la menace se trouvait l’autre bout du monde et ne pouvait pas se connecter au rseau Wi-Fi d’entreprise de l’organisation A. Pour surmonter cet obstacle, l’auteur de la menace s’est efforc de compromettre d’autres organisations situes dans des btiments proches des bureaux de l’organisation A. Sa stratgie a consist pntrer dans une autre organisation, puis se connecter au rseau Wi-Fi de l’entreprise. Sa stratgie consistait pntrer dans une autre organisation, puis se dplacer latralement au sein de celle-ci pour trouver des systmes auxquels il pouvait accder et qui taient dots d’une double connexion (c’est–dire d’une connexion la fois filaire et sans fil).
Une fois qu’il a trouv un systme connect au rseau via une connexion Ethernet cble, l’acteur de la menace accde au systme et utilise son adaptateur Wi-Fi. Il se connecte alors au SSID du rseau Wi-Fi d’entreprise de l’organisation A et s’authentifie, ce qui lui permet d’accder au rseau de l’organisation A.
Compromission Wi-Fi : lart de laccs rapproch en cyberscurit
Au dbut de lenqute, lattaquant a cess toute activit apparente aprs lincident initial, rendant son identification difficile. Une adresse IP suspecte a t dtecte, mais son origine na pu tre confirme, et les systmes de surveillance installs sur le rseau de lorganisation nont rvl que peu de traces. Pendant un temps, les pistes disponibles se sont avres infructueuses, stoppant lavance de lanalyse.
Lattaquant a fini par rapparatre, permettant de collecter des informations cruciales. Lorigine de ladresse IP utilise a t localise sur le rseau Wi-Fi interne de lorganisation, mais aucune trace napparaissait dans les journaux DHCP du rseau. Ce nest quaprs avoir accd au contrleur sans fil de lorganisation, charg de grer les points daccs et linfrastructure Wi-Fi, quune avance significative a t ralise. Les donnes du contrleur ont permis de relier une adresse IP suspecte une adresse MAC spcifique et un compte utilisateur authentifi sur le rseau.
Lexamen des journaux RADIUS a rvl des vnements dauthentification associs cette adresse MAC et diffrents comptes utilisateur, notamment durant la priode de la compromission initiale. Il est apparu quun mot de passe expir avait temporairement empch lattaquant daccder un compte, mais celui-ci avait russi contourner cet obstacle en utilisant un autre identifiant vol peu aprs.
Les investigations ont galement mis en vidence une attaque par pulvrisation de mots de passe sur un service web expos Internet, protg par une authentification multifactorielle (MFA). Bien que la MFA ait bloqu laccs direct au service, lattaquant la exploit pour tester la validit des identifiants, compromettant ainsi trois comptes. Deux de ces comptes taient dj lis aux journaux du rseau sans fil.
Malgr la dcouverte de ces identifiants compromis, la localisation physique de lattaquant restait incertaine. Une analyse approfondie des donnes du contrleur sans fil a permis didentifier les points daccs utiliss et de cartographier leur emplacement dans le btiment. Ces points daccs se trouvaient tous dans une salle de confrence lextrmit du btiment, prs de fentres donnant sur la rue. Cela a conduit une conclusion surprenante : lattaquant ne se trouvait probablement pas lintrieur du btiment, mais oprait depuis lextrieur, menant potentiellement une opration daccs rapproch depuis la rue. Cette dcouverte a marqu un tournant dans lenqute, ouvrant la voie une meilleure comprhension de la mthode utilise.
Ne faites confiance personne, pas mme vos voisins
Au cours de lenqute, des mesures correctives ont t mises en uvre pour amliorer la scurit et la visibilit rseau de lorganisation cible. Ces amliorations ont jou un rle crucial en permettant une meilleure dtection des activits suspectes. Malgr la rinitialisation des identifiants compromis, y compris ceux issus des attaques par pulvrisation de mots de passe, lattaquant avait encore accs des identifiants de domaine valides, ce qui lui a permis de regagner le rseau Wi-Fi de lentreprise.
Cependant, grce aux nouvelles capacits de surveillance, toute activit rseau impliquant des systmes connects au Wi-Fi tait dsormais enregistre et analyse. Cette surveillance a rvl des requtes NetBIOS Name Service (NBNS) manant du systme utilis par lattaquant. Ces requtes ont permis didentifier le nom de lordinateur de lattaquant ainsi que le domaine Active Directory auquel il tait rattach. Ces indices ont conduit une rvlation majeure : lattaquant se connectait depuis un btiment situ juste en face des locaux de lorganisation.
Le systme en question tait configur pour une double connectivit, utilisant la fois une connexion Ethernet cble pour laccs Internet et un adaptateur Wi-Fi actif simultanment. En exploitant cette configuration, lattaquant avait identifi un appareil porte, compromis son rseau sans fil et utilis un script PowerShell personnalis pour sonder les rseaux disponibles proximit. laide des identifiants vols, il stait connect au rseau Wi-Fi de lorganisation, exploitant sa proximit physique pour maintenir un accs clandestin.
Lurgence dune dfense globale face aux cyberattaques sophistiques
Lattaque orchestre par le groupe GruesomeLarch met en lumire plusieurs enjeux essentiels de la cyberscurit moderne, soulignant lurgence dune approche globale et proactive pour protger les rseaux dentreprise. Cette opration sophistique, combinant des mthodes daccs rapproch et lexploitation de vulnrabilits organisationnelles, rvle la capacit des menaces persistantes avances (APT) djouer les systmes de dfense traditionnels.
Elle met galement en vidence limportance cruciale dune scurit Wi-Fi renforce. Les failles des rseaux sans fil, telles que lutilisation de protocoles obsoltes comme le WEP ou des configurations inadquates des routeurs, exposent les utilisateurs des cyberattaques varies : dtournement des paramtres DNS, interception de trafic ou accs non autoris des donnes sensibles. Cette problmatique est amplifie dans les environnements publics mal scuriss, tels que les cafs ou les espaces partags, o le risque dexposition est encore plus lev.
Un autre aspect critique est la sous-estimation des risques et la vision parfois trop restreinte des vecteurs dattaque possibles. Les avances technologiques des APT, qui combinent habilement des techniques numriques et physiques, imposent une reconfiguration profonde des stratgies de scurit. Il ne suffit plus de scuriser les points dentre vidents : il faut anticiper les approches alternatives quun attaquant pourrait emprunter.
Par ailleurs, cette attaque illustre clairement linterconnexion croissante entre cyberscurit et gopolitique. En ciblant des organisations lies des dossiers sensibles comme l’Ukraine, elle sinscrit dans une stratgie plus large o la cyberscurit devient un enjeu de souverainet et de dfense nationale. Cela souligne que la scurisation des systmes informatiques ne relve pas uniquement dun impratif technique, mais galement dune ncessit stratgique.
Pour prvenir de telles menaces, les organisations doivent mettre en uvre des mesures globales et stratgiques. Cela inclut lactivation de lauthentification deux facteurs (2FA) sur tous les points daccs critiques, ladoption de protocoles de chiffrement modernes comme le WPA3, et le renforcement de la scurit des routeurs, quils soient professionnels ou domestiques. Les enseignements tirs de cette attaque rappellent que seule une approche holistique de la cyberscurit, combinant technologies avances, bonnes pratiques organisationnelles et vigilance accrue, permet de faire face des adversaires aussi sophistiqus et dtermins.
Le cot de linaction ou dune protection insuffisante est bien trop lev, non seulement pour les entreprises concernes, mais galement pour la scurit collective. Adopter une posture de dfense proactive est une ncessit absolue dans un contexte o les cybermenaces voluent rapidement et de manire toujours plus cible.
Source : Volexity
Et vous ?
Quel est votre avis sur le sujet ?
Quelles mesures prventives les organisations devraient-elles adopter pour scuriser leurs rseaux Wi-Fi contre les attaques de groupes APT comme celle-ci ?
Comment les entreprises peuvent-elles mieux intgrer la cyberscurit physique et numrique pour prvenir les attaques ciblant la fois les infrastructures internes et les connexions sans fil externes ?
Voir aussi :