En février 2022, le groupe de cybermenaces d'État russe APT28, également appelé Fancy Bear, Forest Blizzard et GrusomeLarch, a lancé une attaque contre une entreprise américaine ayant des liens avec l'Ukraine.
Le motif était bien connu : la collecte de renseignements. La méthode était cependant nouvelle : une nouvelle approche qui combinait les risques à distance avec les réseaux de proximité. Connue sous le nom d'attaque du plus proche voisin, c'est un signal d'alarme pour les entreprises qui sécurisent leurs accès numériques mais laissent leurs réseaux Wi-Fi non protégés.
Dans cet article, nous allons détailler les principes fondamentaux d'une attaque de type « plus proche voisin », examiner la compromission d'APT28 et proposer des conseils pour aider les entreprises à se protéger.
Qu'est-ce qu'une attaque dite du « plus proche voisin »
Cette attaque ne cible pas directement les victimes visées. Au lieu de cela, les cybercriminels compromettent la sécurité numérique des entreprises voisines et utilisent ensuite des appareils compatibles Wi-Fi pour détecter les réseaux cibles et s'y connecter.
Ce type d'attaque fonctionne parce que le Wi-Fi est intrinsèquement local, les signaux ne pouvant atteindre qu'une courte distance au-delà des limites physiques d'une entreprise, juste assez pour être détectés par les appareils situés à proximité. Et si les entreprises sont de plus en plus vigilantes en matière de protection des données publiques, elles se soucient souvent moins des réseaux Wi-Fi, compte tenu de leur empreinte numérique plus réduite. Par conséquent, de nombreux réseaux Wi-Fi ne nécessitent qu'un identifiant et un mot de passe pour y accéder.
Il en résulte une opportunité pour les pirates. Plutôt que de tenter de compromettre des réseaux d'entreprise bien protégés, ils utilisent la force brute pour s'introduire dans les réseaux voisins mal sécurisés. Une fois à l'intérieur, ils identifient un périphérique à double connexion (disposant à la fois d'une connexion câblée et sans fil) et l'utilisent pour rechercher le réseau Wi-Fi de leur cible. De là, ils exploitent les identifiants volés pour accéder aux données protégées et les exfiltrer.
Du point de vue des victimes potentielles, l'attaque est difficile à détecter et encore plus difficile à suivre. Étant donné que les réseaux Wi-Fi ont été accessibles à l'aide d'identifiants légitimes et qu'il n'y a aucune preuve de manipulation physique ou numérique, les équipes informatiques doivent guetter le début des attaques pour capturer les données de signal et déterminer leur point d'origine.
Anatomie de l'attaque APT28
À l'instar de la plupart des pirates, les acteurs étatiques russes privilégient la voie la plus simple pour compromettre un système : l'achat ou le vol d'identifiants d'accès. Si cette méthode échoue (lors de l'attaque de 2022, le réseau cible était protégé par une authentification multifactorielle (MFA)), ils se tournent souvent vers la compromission du réseau Wi-Fi local. Des agents ont été pris en flagrant délit d'utilisation d'antennes cachées lors de tentatives de piratage sur site.
Pour réduire les risques et couvrir leurs traces, APT28 a tenté une approche différente. Au lieu de se planquer dans des voitures ou de rôder dans les parcs voisins, les pirates ont recherché des réseaux à proximité qui n'utilisaient pas l'authentification multifactorielle. Ils ont ensuite utilisé des attaques de crendential stuffing pour compromettre ces réseaux, localiser les appareils à double connexion et accéder au Wi-Fi cible qui n’était pas protégé par une MFA. Cela a permis à APT28 d’utiliser des identifiants précédemment volés sans se soucier de contrôles de sécurité supplémentaires.
Comme l'indique Dark Reading, les pirates ont adopté une approche LotL (exploitation des ressources locales) pour éviter d'être détectés. Ils ont développé un script PowerShell personnalisé pour identifier et analyser les réseaux Wi-Fi disponibles, puis ont utilisé des outils Windows tels que Cipher.exe pour se déplacer latéralement à travers les réseaux. Le résultat fut une attaque qui semblait provenir de l’intérieur du bâtiment mais qui a été menée à des milliers de kilomètres de là.
Trois façons de réduire les risques liés à ce genre d'attaque
Ces attaques détournent les réseaux Wi-Fi voisins afin de semer la confusion chez les défenseurs. Plus les équipes de sécurité mettent de temps à localiser la source de la compromission, plus les cybercriminels ont le temps de fouiller les bases de données et de voler des données critiques.
Voici trois façons de réduire le risque d'interactions négatives entre réseaux voisins :
1. Utilisez de meilleurs mots de passe
Comme indiqué ci-dessus, les pirates russes ont utilisé le credential stuffing pour compromettre les entreprises voisines. En utilisant de meilleurs mots de passe, la CISA suggère des mots de passe contenant au moins 16 caractères, aléatoires et propres à un seul compte, et en les modifiant régulièrement, les entreprises peuvent réduire le risque de devenir un mauvais réseau voisin.
2. Mettez en œuvre la MFA à l'échelle du réseau
Le Wi-Fi sans MFA a fourni aux acteurs malicieux le point d’accès dont ils avaient besoin pour utiliser les identifiants volés. En mettant en œuvre l’authentification multifactorielle sur les réseaux d’entreprise, les entreprises peuvent contrecarrer les efforts des pirates.
Selon la CISA, certains types de MFA sont toutefois meilleures que d'autres. Par exemple, même si l’authentification multifacteur (MFA) par SMS offre une meilleure protection aux utilisateurs, ces messages peuvent être interceptés par des pirates. Les notifications push basées sur des applications ou les mots de passe à usage unique (OTP) offrent quant à eux une meilleure défense. Les outils résistants à l’hameçonnage tels que FIDO, qui s’appuie sur une infrastructure à clé publique, sont considérés comme les plus sûrs.
3. Créez des réseaux distincts
Les réseaux Wi-Fi peuvent servir de passerelles aux pirates pour accéder aux connexions câblées, qui peuvent à leur tour leur permettre d'accéder à des ressources protégées. Pour réduire ce risque, les entreprises peuvent mettre en place des environnements réseau distincts. Cela signifie que compromettre le Wi-Fi ne suffira pas : les pirates devront toujours passer des contrôles MFA s'ils veulent accéder aux réseaux câblés.
Attention au voisinage
Les bons voisins sont courtois, respectueux et ne cherchent pas à obtenir des informations confidentielles Cependant, des cybercriminels peuvent désormais exploiter des réseaux voisins mal protégés pour compromettre les connexions Wi-Fi et contourner les défenses numériques, ajoutant ainsi un risque supplémentaire dans des quartiers autrement paisibles.
Assurer la sécurité des rues numériques implique d'identifier les points vulnérables potentiels, tels que les réseaux Wi-Fi non protégés par une authentification multifactorielle ou les mots de passe faciles à deviner qui peuvent être utilisés dans le cadre d'attaques par credential stuffing. En adoptant une approche globale de la sécurité qui traite tous les composants de manière égale et comme potentiellement vulnérables, les entreprises peuvent créer des environnements cohérents qui empêchent les pirates d'y pénétrer.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
