Volexity a découvert qu’un groupe étatique russe avait violé une organisation victime en compromettant les réseaux Wi-Fi à proximité et en exploitant une vulnérabilité précédemment connue pour obtenir des informations sur l’Ukraine.
Dans un nouveau rapport publié vendredi, les chercheurs de Volexity ont détaillé comment ils ont découvert un « nouveau vecteur d’attaque » au cours d’une enquête de réponse aux incidents (IR) d’un mois et demi pour une organisation cliente anonyme à Washington, DC. Les chercheurs ont attribué l’attaque à le tristement célèbre groupe d’États-nations russes qu’il suit sous le nom de GruesomeLarch, autrement connu sous le nom de Fancy Bear.
Au cours de l’attaque, GruesomeLarch s’est appuyé sur les réseaux Wi-Fi des bâtiments du quartier pour espionner l’organisation victime, appelée « Organisation A » dans le rapport. L’attaque a commencé juste avant l’invasion de l’Ukraine par la Russie, et Volexity a conclu que le motif de GruesomeLarch était le vol de données liées aux projets ukrainiens.
Volexity a observé de nombreuses techniques inédites et a surnommé le style d’attaque révolutionnaire « l’attaque du voisin le plus proche ». Le fondateur de Volexity, Steven Adair, a contribué au rapport et a présenté la recherche vendredi lors de Cyberwarcon 2024.
“L’acteur malveillant a accompli cela en connectant son approche pour compromettre plusieurs organisations à proximité de sa cible, l’organisation A. Cela a été fait par un acteur malveillant qui se trouvait à des milliers de kilomètres et à un océan de distance de la victime”, Volexity écrit dans le rapport.
Volexity a déclaré que GruesomeLarch a réalisé l’attaque en menant des attaques par pulvérisation de mot de passe pour obtenir des informations d’identification valides appartenant à trois employés. Alors que l’organisation protégeait ses services publics avec MFA, les auteurs de la menace ont appris qu’ils pouvaient utiliser les informations d’identification compromises sur le réseau Wi-Fi de l’entreprise, dépourvu de MFA. Cependant, Volexity a noté que les attaquants se trouvaient à des milliers de kilomètres, ce qui s’est avéré difficile mais pas impossible.
« Pour surmonter cet obstacle, l’auteur de la menace s’est efforcé de compromettre d’autres organisations qui se trouvaient dans des bâtiments à proximité immédiate du bureau de l’organisation A. Sa stratégie consistait à pénétrer dans une autre organisation, puis à se déplacer latéralement au sein de cette organisation pour trouver des systèmes auxquels ils pouvaient accéder et qui étaient à double accès. -hébergé (c’est-à-dire ayant à la fois une connexion réseau filaire et sans fil)”, indique le rapport. “Une fois cette entreprise réussie, après avoir trouvé un système connecté au réseau via une connexion Ethernet filaire, l’acteur malveillant accéderait au système et utiliserait son adaptateur Wi-Fi.”
Une analyse plus approfondie a montré que GruesomeLarch a réussi à pirater plusieurs organisations situées à proximité de l’organisation victime. Volexity a ajouté que les auteurs de la menace ont compromis un système à double hébergement, qui se connecte à plusieurs appareils à la fois, dans l’organisation voisine et l’ont utilisé pour se connecter au réseau Wi-Fi d’entreprise de l’organisation victime.
Le rapport souligne que l’attaque a fonctionné uniquement parce que l’organisation victime n’a pas mis en œuvre la MFA sur le réseau Wi-Fi. De plus, l’une des organisations utilisées pour pirater la victime ciblée n’a pas mis en œuvre la MFA sur son VPN, que les attaquants ont utilisé pour obtenir un accès initial.
Alors que l’acteur menaçant est resté discret pendant un mois et que Volexity pensait que les mesures correctives fonctionnaient, GruesomeLarch n’avait pas encore terminé. Cela a compromis le réseau Wi-Fi invité de l’organisation cible, plutôt que le réseau Wi-Fi de l’entreprise, pour retrouver l’accès.
« Alors que l’on pensait que le réseau Wi-Fi invité était complètement isolé du réseau filaire de l’entreprise, où résidaient les données ciblées de grande valeur, il existait un système accessible à la fois depuis le réseau Wi-Fi et le réseau filaire de l’entreprise. Armé des informations d’identification d’un compte qui n’avait pas été réinitialisé et du fait que le réseau Wi-Fi n’était pas complètement isolé, l’attaquant a pu revenir sur le réseau filaire de l’entreprise et finalement retrouver l’accès aux données ciblées de grande valeur. “, indique le rapport.
Appelez pour sécuriser les réseaux Wi-Fi
Le rapport ajoute que GruesomeLarch a utilisé des techniques pour vivre de la terre lors de l’attaque du voisin le plus proche. Durant LOTL, les attaquants contournent les produits de détection et de réponse des points finaux en exploitant des outils légitimes trouvés dans un environnement victime. Dans ce cas, Volexity a découvert que GruesomeLarch utilisait les protocoles Microsoft standard et se déplaçait latéralement à travers le réseau de la victime.
Le groupe d’État-nation russe a également exploité une vulnérabilité du spouleur d’impression de Microsoft Windows, identifiée comme CVE-2022-38028, pour l’exfiltration de données. C’est par l’exploitation que Volexity a connecté la nouvelle attaque à GruesomeLarch, que Microsoft suit sous le nom de Forest Blizzard. L’année dernière, Microsoft a averti que Forest Blizzard exploitait toujours une vulnérabilité connue dans Outlook pour Windows pour accéder aux serveurs Exchange de l’organisation victime.
Le rapport de Volexity de vendredi a mis en évidence une recherche publiée par Microsoft en avril qui montrait que le groupe de menace Forest Blizzard avait utilisé un outil post-compromis nommé GooseEgg lors de l’exploitation zero-day de CVE-2022-38028. Au cours de l’enquête IR sur l’organisation victime de Washington, Volexity a observé les mêmes noms de fichiers et chemins d’accès que Microsoft a inclus dans son rapport.
Microsoft a également évalué que l’outil était utilisé depuis au moins 2020. Volexity a mené l’enquête IR en 2022. « Sur la base de l’utilisation de cet outil, qui, selon Microsoft, est unique à cet acteur menaçant, Volexity évalue avec un degré de confiance élevé que l’activité décrite dans ce poste peut être attribué à GruesomeLarch”, indique le rapport.
Volexity a déclaré que l’attaque du voisin le plus proche est efficace car elle élimine le risque que les attaquants soient « physiquement identifiés ou détenus » comme dans une opération d’accès rapproché typique. Le rapport prévient également que l’attaque était possible en raison d’un manque de contrôles de sécurité mis en œuvre sur les systèmes Wi-Fi de l’organisation victime. “Il est peut-être temps de traiter l’accès aux réseaux Wi-Fi d’entreprise avec le même soin et la même attention que d’autres services d’accès à distance, tels que les réseaux privés virtuels (VPN),” indique le rapport.
Volexity a recommandé aux organisations de créer des outils de détection personnalisés pour rechercher des fichiers s’exécutant à partir de divers emplacements non standard, détecter et identifier l’exfiltration de données à partir de services Internet et créer des environnements réseau distincts pour les réseaux Wi-Fi et Ethernet.
Arielle Waldman est rédactrice pour TechTarget Editorial couvrant la sécurité des entreprises.