Partie intégrante du kit FuzzBunch utilisé par la NSA à des fins de cyberespionnage, l’exploit EternalBlue a constitué un vecteur de propagation majeur* pour les rançongiciels WannaCry et NotPetya.
Il a également, d’après FireEye, été mis à contribution dans le cadre d’attaques contre les réseaux Wi-Fi d’hôtels localisés essentiellement en Europe.
La firme américaine de cybersécurité attribue ces offensives au groupe de pirates APT28, aussi connu sous le nom « Fancy Bear » et dit responsable, entre autres, de la déstabilisation de la campagne présidentielle aux États-Unis avec un assaut contre le Comité national démocrate.
EternalBlue n’est qu’une composante intermédiaire des attaques contre les hôtels. Le point de départ, c’est une campagne de hameçonnage, avec l’envoi, par e-mail, d’un document (Hotel_Reservation_Form.doc) qui contient une macro malveillante.
Cette dernière, une fois exécutée (typiquement par le logiciel Word), installe le malware GAMEFISH, régulièrement utilisé par APT28 et relié, dans le cas présent, à deux serveurs de commande et de contrôle : myband.net et mytband.net.
Une fois la passerelle établie, les pirates recherchent les machines qui contrôlent à la fois les réseaux Wi-Fi réservés à un usage par le personnel et ceux ouverts aux clients. Ils déploient alors l’outil open source Responder.
Celui-ci est conçu pour espionner les requêtes effectuées à destination de NBT-NS (service qui, au sein de l’architecture NetBIOS, associe un nom d’ordinateur à une adresse IP) par des machines tentant de se connecter à des ressources réseau.
En se faisant passer pour les ressources réseau en question, Responder est capable de récupérer, sur les machines cibles, les informations d’ouverture de session ; en l’occurrence, l’identifiant et le mot de passe qu’il reste à déchiffrer.
EternalBlue intervient pour faciliter la diffusion de toute cette mécanique, en conjonction avec l’outil py2exe pour la compilation de scripts Python.
Les premières traces d’attaque remontent au mois de juillet, affirme FireEye, qui fait le parallèle avec des assauts perpétrés dernièrement par un groupe de pirates sud-coréen contre des hôtels asiatiques.
* Sur les OS Windows, EternalBlue a permis d’exploiter une faille (CVE-2017-0144) dans le protocole SMB pour le partage de ressources sur des réseaux locaux. Son code avait fuité à l’initiative des Shadow Brokers, collectif de pirates connu pour avoir éventé auparavant d’autres secrets de la NSA.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…