Mon compte Devenir membre Newsletters

[Avis d'expert] "Une campagne visant le secteur de l'hôtellerie, qui émane d'un groupe de "hackers" russe, menace les voyageurs

Publié le par

"Les réseaux WiFi ouverts au public présentent une menace significative et doivent être évités dans la mesure du possible", explique le spécialiste de la cyber-sécurité, FirEye, car "les hackers exploitent le faible niveau de sécurité des réseaux WiFi des hôtels pour voler des identifiants".

[Avis d'expert] 'Une campagne visant le secteur de l'hôtellerie, qui émane d'un groupe de 'hackers' russe, menace les voyageurs

FireEye estime "avec un niveau de confiance modéré" qu'une campagne visant le secteur de l'hôtellerie émane du groupe de "hackers" russe APT28. Le spécialiste de la cyber sécurité pense que cette activité, qui a commencé dès juillet 2017, sinon auparavant, a pour cible la clientèle de voyageurs dans des hôtels dans toute l'Europe et au Moyen Orient. L'acteur malveillant a utilisé plusieurs techniques identifiées au cours de ces incidents, telles que le 'sniffing' de mots de passe au sein du trafic WiFi, l'infection du NetBIOS Name Service, et la propagation latérale via l'exploit EternalBlue.

APT28 utilise un document malicieux pour cibler l'industrie hôtellière

FireEye a découvert un document malicieux envoyé dans des emails de 'spear phishing' à de multiples entreprises appartenant à l'industrie hôtellière, dont des hôtels dans au moins sept pays européens et un pays du Moyen Orient au début du mois de juillet. L'exécution réussie de la macro intégrée dans le document malicieux a pour effet l'installation du malware Gamefish , un malware couramment utilisé par APT28.

APT28 utilise des techniques novatrices pour se déplacer latéralement et cibler potentiellement des voyageurs

APT28 utilise des techniques novatrices impliquant l'exploit EternalBlue et l'outil open source Responder pour se propager latéralement au travers des réseaux vers ses cibles de voyageurs. Une fois à l'intérieur du réseau d'une entreprise hotellière, APT28 a recherché les machines qui contrôlaient les réseaux WiFi à la fois internes et invités. Aucun vol d'identifiants des invités n'a été observé dans les hôtels compromis ; toutefois, au cours d'un incident séparé qui s'est produit à l'automne 2016, APT28 a obtenu l'accès au réseau d'une victime via des identifiants probablement volés à partir du réseau WiFi d'un hôtel.

Dès que l'attaquant a eu accès aux machines connectées aux réseaux WiFi internes et invités, APT28 a déployé Responder. Responder facilite l'infection de NetBIOS Name Service (NBT-NS). Cette technique écoute les diffusions de NBT-NS (UDP/137) à partir des ordinateurs victimes essayant de se connecter aux ressources du réseau. Une fois la diffusion reçue, Responder se fait passer pour la ressource recherchée, ce qui a pour conséquence que l'ordinateur victime envoie le nom d'utilisateur et le mot de passe crypté à la machine contrôlée par l'attaquant. APT28 a utilisé cette technique pour voler des noms d'utilisateur et des mots de passe cryptés, ce qui a permis une escalade de privilèges sur le réseau de la victime.

Pour se propager sur le réseau de l'entreprise hôtellière, APT28 a utilisé une version de l'exploit EternalBlue. Ceci combiné à un usage intensif de py2exe pour compiler les scripts Python. C'est la première fois que FireEye a vu APT28 incorporer cet exploit dans ses intrusions.

Dans l'incident de 2016, la victime a été compromise après s'être connectée au réseau WiFi d'un hôtel. Douze heures après que la victime s'est initialement connectée au réseau WiFi, APT28 a accédé à la machine avec les identifiants volés. Ces douze heures ont pu être utilisées pour craquer off line un mot de passe crypté. Une fois avoir obtenu l'accès à la machine, l'attaquant y a déployé des outils, s'est déployé latéralement dans le réseau de la victime, et a accédé au compte OWA de la victime. Le login était originaire d'un ordinateur dans le même sous réseau, ce qui indique que la machine de l'attaquant était physiquement proche de la victime et sur le même réseau WiFi.

Lire la suite en page 2 : Des menaces de longue date visant les voyageurs