Attaque du plus proche voisin : une variante de l’attaque par rebond

C’est une attaque par rebond peu connue que vient de documenter Volexity : elle ne concerne pas, comme cela a déjà pu être observé par le passé, la chaîne logistique du logiciel, ni l’exploitation de vulnérabilités non patchées exposées par un tiers et ouvrant la voie à ses clients. Elle apparaît bien loin de n’être qu’opportuniste. 

Tout commence le 4 février 2022, raconte Veloxity, avec la détection « d’activité réseau suspecte sur le réseau de son client ». Un fichier d’exécution de commandes en série a été déposé et exécuté sur une machine dudit système d’information : il assure la collecte d’informations sensibles stockées dans le registre de Windows.

L’enquête technique va faire ressortir une connexion RDP préalable avec un compte utilisateur sans privilèges spécifiques. Surtout, l’assaillant a pris soin d’effacer certaines traces en effaçant les fichiers et dossiers qu’il avait créés. 

L’adresse IP utilisée pour l’intrusion n’était plus en ligne et les sondes réseau déployées dans le SI de la victime n’avaient « virtuellement aucun enregistrement de l’attaquant » et de ses activités.

Mais il est revenu, exposant cette fois-ci une adresse IP associée au réseau Wi-Fi de l’entreprise pour lequel l’un des contrôleurs de domaine « agissait comme serveur DHCP ». Reste que rien dans ses journaux ne renseignait sur l’attaquant.

Bonne nouvelle toutefois : l’entreprise victime « avait un contrôleur sans fil qui était utilisé pour gérer son réseau sans fil, ses points d’accès et toute l’infrastructure connexe. Ce contrôleur conservait également des journaux détaillés relatifs à la force du signal, aux appareils connectés, aux comptes d’utilisateurs authentifiés, etc. »

L’analyse de ce contrôleur Wi-Fi allait fournir de premiers éléments pour avancer : un compte utilisateur authentifié et une adresse MAC. De quoi aller fouiller dans les logs RADIUS : « cette même adresse MAC et ce même compte d’utilisateur sont apparus dans des journaux plus anciens qui se chevauchent avec la violation initiale. Cependant, Volexity a trouvé d’autres événements d’authentification avec la même adresse MAC et un nom d’utilisateur différent remontant à la fin janvier 2022 ».

Les experts de Veloxity se sont alors tournés vers les services Web exposés en ligne par l’entreprise compromise. L’authentification à facteurs multiples (MFA) y était bien déployée, mais, en janvier et février 2022, un tiers a néanmoins essayé de trouver les mots de passe de comptes utilisateurs de ces services. Avec succès pour trois d’entre eux, dont les deux dont le détournement avait été établi. 

L’attaquant accédait donc au SI de l’entreprise via son réseau Wi-Fi en détournant des comptes dont les mots de passe avaient été découverts en testant des accès Web protégés par MFA. Mais comment pouvait-il se connecter au réseau Wi-Fi ?

Veloxity a constaté que l’assaillant utilisait toujours trois points d’accès précis, disposés « dans une salle de conférence à l’extrémité du bâtiment, près de fenêtres le long de la rue ». De quoi suggérer qu’il n’avait jamais été physiquement présent dans les locaux de l’entreprise.

Sa reconnexion, malgré de multiples mesures préventives, a donné l’occasion de lancer une capture de paquets complète, dont l’analyse révélera le nom de sa machine et celui du domaine Active Directory auquel elle est rattachée. Un domaine administré par une seconde entreprise, située de l’autre côté de la rue.

Avec l’aide de cette seconde entreprise, Veloxity a pu identifier un poste de travail compromis, connecté au réseau en Ethernet, mais embarquant une interface Wi-Fi : « l’attaquant a trouvé ce système et a utilisé un script PowerShell personnalisé pour examiner les réseaux disponibles à portée de son réseau sans fil, puis s’est connecté au réseau Wi-Fi » de la première entreprise. Celle qui était donc la cible d’une attaque par rebond sur le réseau d’une autre, voisine. 

Mais cela va plus loin. L’intrusion dans le réseau de l’entreprise de rebond se faisait de deux façons : accès VPN (sans MFA) avec compte légitime compromis, ou… rebond réseau Wi-Fi, déjà, via une troisième entreprise !

« L’attaquant s’est donné beaucoup de mal pour pénétrer dans plusieurs organisations afin de pouvoir enchaîner les connexions Wi-Fi etou VPN pour finalement atteindre le réseau » de sa cible, explique Veloxity, ajoutant que ses experts en étaient « stupéfaits ».