Le groupe de hackers russes APT28, qui recouvre aussi les actions de Fancy Bear ou Pawn Storm, aurait tenté de récupérer des informations sensibles en s'attaquant aux réseaux WiFi de plusieurs hôtels en Europe, annoncent les experts en sécurité de FireEye.
Il s'agissait vraisemblablement de récupérer des informations pour de l'intelligence politique et économique en ciblant des voyageurs professionnels ou des personnalités gouvernementales.
Un formulaire de réservation vérolé a été utilisé comme porte d'entrée au réseau interne d'au moins trois grandes chaînes hôtelières dans des capitales européennes pour permettre une intrusion dans les réseaux WiFi des hôtels et implanter un malware afin de récupérer des identifiants et mots de passe des clients et pénétrer éventuellement par la suite les réseaux de leur employeur.
Un formulaire .doc anodin et quelques macros installent le malware Gamefish
L'originalité de la méthode est que la récupération de ces informations peut se faire sans avoir besoin de la traditionnelle campagne de phishing pour tenter de berner les victimes.
La technique d'APT28 repose notamment sur l'exploit EternalBlue dans le protocole SMB (Server Message Block), déjà utilisé dans les récentes cyberattaques s'apparentant plus ou moins à des ransomwares.
Pour FireEye, cette méthode peut en principe permettre de toucher des cibles qui étaient hors de portée jusqu'à présent car bien protégées contre le phishing direct. Et si les experts en sécurité citent particulièrement ce groupe de hackers plutôt qu'un autre, c'est parce qu'ils ont retrouvé les traces d'un outil, baptisé Gamefish, particulièrement prisé de ces hackers.
Les réseaux WiFi des hôtels sont des cibles particulièrement intéressantes pour des acteurs désireux d'obtenir des informations, qu'il s'agisse de banditisme ou d'espionnage. Entre les commodités nécessaires impliquant de ne pas trop compliquer les processus d'accès au WiFi et la situation de mobilité des personnes visées qui les sort de leur cadre habituel et peut les rendre plus vulnérables, les conditions sont propices aux tentatives d'accès à des informations sensibles.
FireEye souligne que les voyageurs doivent être sensibilisés aux risques encourus lors de leurs déplacements, notamment en pays étranger, et qu'ils doivent prendre des précautions particulières pour protéger leurs données, et en gardant toujours à l'esprit que "les réseaux WiFi publiquement accessibles représentent un vrai danger et doivent être évités autant que possible".
