AccueilDossiers[Avis d'expert] "Une campagne visant le secteur de l'hôtellerie, qui émane d'un groupe de "hackers" russe, menace les voyageurs"
[Avis d'expert] "Une campagne visant le secteur de l'hôtellerie, qui émane d'un groupe de "hackers" russe, menace les voyageurs"
"Les réseaux WiFi ouverts au public présentent une menace significative et doivent être évités dans la mesure du possible", explique le spécialiste de la cyber-sécurité, FirEye, car "les hackers exploitent le faible niveau de sécurité des réseaux WiFi des hôtels pour voler des identifiants".
Je m'abonneFireEye estime "avec un niveau de confiance modéré" qu'une campagne visant le secteur de l'hôtellerie émane du groupe de "hackers" russe APT28. Le spécialiste de la cyber sécurité pense que cette activité, qui a commencé dès juillet 2017, sinon auparavant, a pour cible la clientèle de voyageurs dans des hôtels dans toute l'Europe et au Moyen Orient. L'acteur malveillant a utilisé plusieurs techniques identifiées au cours de ces incidents, telles que le 'sniffing' de mots de passe au sein du trafic WiFi, l'infection du NetBIOS Name Service, et la propagation latérale via l'exploit EternalBlue.
APT28 utilise un document malicieux pour cibler l'industrie hôtellière
FireEye a découvert un document malicieux envoyé dans des emails de 'spear phishing' à de multiples entreprises appartenant à l'industrie hôtellière, dont des hôtels dans au moins sept pays européens et un pays du Moyen Orient au début du mois de juillet. L'exécution réussie de la macro intégrée dans le document malicieux a pour effet l'installation du malware Gamefish , un malware couramment utilisé par APT28.
APT28 utilise des techniques novatrices pour se déplacer latéralement et cibler potentiellement des voyageurs
APT28 utilise des techniques novatrices impliquant l'exploit EternalBlue et l'outil open source Responder pour se propager latéralement au travers des réseaux vers ses cibles de voyageurs. Une fois à l'intérieur du réseau d'une entreprise hotellière, APT28 a recherché les machines qui contrôlaient les réseaux WiFi à la fois internes et invités. Aucun vol d'identifiants des invités n'a été observé dans les hôtels compromis ; toutefois, au cours d'un incident séparé qui s'est produit à l'automne 2016, APT28 a obtenu l'accès au réseau d'une victime via des identifiants probablement volés à partir du réseau WiFi d'un hôtel.
Dès que l'attaquant a eu accès aux machines connectées aux réseaux WiFi internes et invités, APT28 a déployé Responder. Responder facilite l'infection de NetBIOS Name Service (NBT-NS). Cette technique écoute les diffusions de NBT-NS (UDP/137) à partir des ordinateurs victimes essayant de se connecter aux ressources du réseau. Une fois la diffusion reçue, Responder se fait passer pour la ressource recherchée, ce qui a pour conséquence que l'ordinateur victime envoie le nom d'utilisateur et le mot de passe crypté à la machine contrôlée par l'attaquant. APT28 a utilisé cette technique pour voler des noms d'utilisateur et des mots de passe cryptés, ce qui a permis une escalade de privilèges sur le réseau de la victime.
Pour se propager sur le réseau de l'entreprise hôtellière, APT28 a utilisé une version de l'exploit EternalBlue. Ceci combiné à un usage intensif de py2exe pour compiler les scripts Python. C'est la première fois que FireEye a vu APT28 incorporer cet exploit dans ses intrusions.
Dans l'incident de 2016, la victime a été compromise après s'être connectée au réseau WiFi d'un hôtel. Douze heures après que la victime s'est initialement connectée au réseau WiFi, APT28 a accédé à la machine avec les identifiants volés. Ces douze heures ont pu être utilisées pour craquer off line un mot de passe crypté. Une fois avoir obtenu l'accès à la machine, l'attaquant y a déployé des outils, s'est déployé latéralement dans le réseau de la victime, et a accédé au compte OWA de la victime. Le login était originaire d'un ordinateur dans le même sous réseau, ce qui indique que la machine de l'attaquant était physiquement proche de la victime et sur le même réseau WiFi.
Lire la suite en page 2 : Des menaces de longue date visant les voyageurs
FireEye ne peut confirmer comment les identifiants initiaux ont été volés dans l'incident de 2016 ; toutefois, plus tard au cours de l'intrusion, Responder a été déployé. Cet outil permettant à un attaquant de "sniffer" des mots de passe dans le trafic réseau, il a pu être utilisé sur le réseau WiFi de l'hôtel pour obtenir les identifiants de l'utilisateur.
Lire aussi : Les nouveaux contours de la travel policy
Des menaces de longue date visant les voyageurs
L'activité de cyber espionage visant l'industrie hôtellière se concentre typiquement sur la collecte d'informations sur ou à partir des clients dignes d'intérêt des hôtels plutôt que sur les établissements eux mêmes, même si des acteurs malveillants peuvent aussi collecter des informations sur l'hôtel comme un moyen de faciliter leurs opérations. Les hommes d'affaires et les agents gouvernementaux qui voyagent, spécialement dans un pays étranger, s'appuient souvent sur des systèmes dans le cadre de leurs activités qui sont différents de ceux qu'ils utilisent à leur bureau, et peuvent ne pas être conscients des menaces auxquelles ils s'exposent lorsqu'ils sont à l'étranger.
APT28 n'est pas le seul groupe qui cible les voyageurs. Le Fallout Team (aka Darkhotel) lié à la Corée du Sud a utilisé des mises à jour frauduleuses de logiciels sur des réseaux WiFi infectés dans des hôtels en Asie, et le malware Duqu 2.0 a été trouvé sur les réseaux d'hôtels européens utilisés par les participants aux négociations sur le nucléaire iranien. De plus, diverses sources font état depuis plusieurs années qu'en Russie et en Chine, des clients importants peuvent s'attendre à voir leurs ordinateurs et d'autres équipements électroniques accédés à leur insu dans leurs chambres d'hôtel.
Perspectives et implications
Ces incidents révèlent qu'un nouveau vecteur d'infection est utilisé par APT28. Ce groupe exploite le faible niveau de sécurité des réseaux WiFi des hôtels pour voler des identifiants, et un utilitaire d'infection de NetBIOS Name Service afin de mener des escalades de privilèges. Les capacités et les tactiques déjà très étendues d'APT28 continuent de s'accroître et de s'affiner au fur et à mesure qu'il étend ses vecteurs d'infection.
Les voyageurs doivent être conscients des menaces auxquelles ils s'exposent - spécialement lorsqu'ils sont dans des pays étrangers - et prendre des précautions supplémentaires pour protéger leurs systèmes et leurs données. Les réseaux WiFi ouverts au public présentent une menace significative et doivent être évités dans la mesure du possible.
Lire aussi : MASTERfleet, la location de machines Würth