EternalBlue s’invite à l’hôtel : réminiscences de WannaCry et de NotPetya
Vecteur de propagation des rançongiciels WannaCry et NotPetya, l’exploit EternalBlue a été utilisé pour des attaques sur les réseaux Wi-Fi d’hôtels.
Partie intégrante du kit FuzzBunch utilisé par la NSA à des fins de cyberespionnage, l’exploit EternalBlue a constitué un vecteur de propagation majeur* pour les rançongiciels WannaCry et NotPetya.
Il a également, d’après FireEye, été mis à contribution dans le cadre d’attaques contre les réseaux Wi-Fi d’hôtels localisés essentiellement en Europe.
La firme américaine de cybersécurité attribue ces offensives au groupe de pirates APT28, aussi connu sous le nom « Fancy Bear » et dit responsable, entre autres, de la déstabilisation de la campagne présidentielle aux États-Unis avec un assaut contre le Comité national démocrate.
EternalBlue n’est qu’une composante intermédiaire des attaques contre les hôtels. Le point de départ, c’est une campagne de hameçonnage, avec l’envoi, par e-mail, d’un document (Hotel_Reservation_Form.doc) qui contient une macro malveillante.
Cette dernière, une fois exécutée (typiquement par le logiciel Word), installe le malware GAMEFISH, régulièrement utilisé par APT28 et relié, dans le cas présent, à deux serveurs de commande et de contrôle : myband.net et mytband.net.
Mot de passe ?
Une fois la passerelle établie, les pirates recherchent les machines qui contrôlent à la fois les réseaux Wi-Fi réservés à un usage par le personnel et ceux ouverts aux clients. Ils déploient alors l’outil open source Responder.
Celui-ci est conçu pour espionner les requêtes effectuées à destination de NBT-NS (service qui, au sein de l’architecture NetBIOS, associe un nom d’ordinateur à une adresse IP) par des machines tentant de se connecter à des ressources réseau.
En se faisant passer pour les ressources réseau en question, Responder est capable de récupérer, sur les machines cibles, les informations d’ouverture de session ; en l’occurrence, l’identifiant et le mot de passe qu’il reste à déchiffrer.
EternalBlue intervient pour faciliter la diffusion de toute cette mécanique, en conjonction avec l’outil py2exe pour la compilation de scripts Python.
Les premières traces d’attaque remontent au mois de juillet, affirme FireEye, qui fait le parallèle avec des assauts perpétrés dernièrement par un groupe de pirates sud-coréen contre des hôtels asiatiques.
* Sur les OS Windows, EternalBlue a permis d’exploiter une faille (CVE-2017-0144) dans le protocole SMB pour le partage de ressources sur des réseaux locaux. Son code avait fuité à l’initiative des Shadow Brokers, collectif de pirates connu pour avoir éventé auparavant d’autres secrets de la NSA.