Cyberattaque : Comment un Wi-Fi local a permis une intrusion à distance

Une cyberattaque sophistiquée attribuée au groupe russe APT28 a compromis une entreprise américaine en novembre 2024 via son Wi-Fi.

Selon un article publié par le site BleepingComputer, une cyberattaque sophistiquée survenue en novembre 2024 a été attribuée à un groupe d’acteurs malveillants affilié à l’état russe, connu sous le nom d’APT28 (ou Fancy Bear).

Cette attaque, qualifiée de « nearest neighbor attack », a permis de compromettre une entreprise américaine en exploitant son réseau Wi-Fi d’entreprise à distance, bien que les attaquants se trouvent à des milliers de kilomètres.

Méthode de l’attaque : une chaîne de proximité

La stratégie utilisée par APT28 repose sur une approche en plusieurs étapes. Les hackers ont initialement ciblé une organisation située dans un bâtiment voisin du site principal de leur cible. Cette organisation était à portée du réseau Wi-Fi de la cible principale, permettant ainsi de créer un point d’accès intermédiaire.

Une fois cette première organisation compromise, les attaquants ont cherché des dispositifs connectés en mode « dual-home » – des appareils disposant à la fois de connexions filaires et sans fil – pour exploiter leurs adaptateurs Wi-Fi et atteindre l’infrastructure de la cible principale.

Compromission initiale et escalade des privilèges

APT28 a d’abord obtenu des identifiants d’accès à travers des attaques par « password spraying » visant les services publics exposés de la victime. Cependant, la présence de mécanismes de protection comme l’authentification multi-facteur (MFA) empêchait l’exploitation de ces identifiants via le web. La connexion par le Wi-Fi de l’entreprise, en revanche, ne nécessitait pas de MFA, rendant cette voie exploitable.

Pour contourner la distance physique entre eux et la cible, les hackers ont étendu leur portée en enchaînant plusieurs organisations compromises, exploitant des appareils connectés proches de la cible pour approcher progressivement le réseau Wi-Fi visé.

Exploitation de vulnérabilités et exfiltration des données

L’enquête a révélé que l’attaque s’appuyait sur des vulnérabilités critiques de Windows, exploitées comme des failles « zero-day ». Ces vulnérabilités ont ensuite permis à APT28 d’élever leurs privilèges dans le réseau cible avant d’exécuter des charges utiles critiques.

Une fois à l’intérieur du réseau, les attaquants ont procédé à une exploration latérale, utilisant des outils natifs de Windows pour minimiser leur empreinte et réduire les risques de détection. Ils ont également exfiltré des données sensibles en compressant les registres Windows dans des archives ZIP.

Cette opération montre que les attaques de proximité, traditionnellement réalisées à courte distance, peuvent être adaptées pour être menées à distance grâce à des chaînes de compromission complexes. Elle souligne également l’importance d’accorder une attention accrue à la sécurité des réseaux Wi-Fi d’entreprise au même titre que les dispositifs exposés à Internet.

Pour en savoir plus

Des pirates informatiques ont compromis une entreprise américaine via le Wi-Fi en provenance de Russie dans une attaque de type « Nearest Neighbor Attack ».

Les hackers d’État russes APT28 (Fancy Bear/Forest Blizzard/Sofacy) ont compromis une entreprise américaine via son réseau WiFi d’entreprise tout en étant à des milliers de kilomètres, en exploitant une technique novatrice appelée « attaque du voisin le plus proche ». […]

Lire la suite sur Latest news and stories from BleepingComputer.com

(Re)découvrez également:

Cybercriminalité: Les États-Unis offrent 10 millions $ pour un hacker arrêté par la Russie

Les autorités américaines offrent 10 millions de dollars pour des informations sur le cybercriminel Mikhail Matveev, finalement arrêté en Russie pour ses attaques de rançongiciels.

Lire la suite sur dcod.ch