Il y a le saute-mouton et le saute-Wi-Fi. Tout juste avant l’invasion de l’Ukraine par la Russie, le 24 février 2022, des hackers du Kremlin sont parvenus à s’infiltrer dans le réseau d’une entreprise sensible, via une succession d’intrusions dans les réseaux Wi-Fi de ses voisins.


au sommaire


    Dans le cyberespace personne ne vous entendra crier. C'est une guerre silencieuse qui se déroule sur les réseaux et qui peut faire la différence sur les véritables champs de bataille. Début février 2022, juste avant l'invasion de l'Ukraine par les forces russes, des hackers liés à l'unité 26165 du renseignement militaire russe, le GRU, sont parvenus progressivement à s'infiltrer au cœur d'une entreprise dont l'activité est considérée comme sensible à Washington (États-Unis).

    Leur objectif : l'espionnage avec la collecte de données d'experts et de projets secrets impliquant l'Ukraine. Le groupe auteur de la cyberattaque a été identifié comme GruesomeLarch, autrement connu sous le code APT28 (Forest BlizzardBlizzard, Sofacy, Fancy Bear). Un groupe de hackers russes dont Futura a déjà évoqué les frasques à maintes reprises. Minutieuse, la méthode est originale quoique laborieuse. Les opérateurs ont avancé par petits pas en se faufilant vers leur cible au travers d'une succession de réseaux Wi-Fi de sociétés.

    Les éléments de cette opération viennent tout juste d'être révélés par la société Volexity qui publie son enquête sur le sujet plus de deux ans après l'invasion. L'infiltration n'aurait jamais été détectée, si la société n'avait pas déployé un module de détection chez un de ses clients. C'est à partir de celui-ci que les enquêteurs ont pu élaborer le cheminement de cette attaque sournoise et inédite dans sa façon de procéder.

    L’attaque du « voisinage proche »

    Pour avancer vers leur cible, les pirates se sont d'abord introduits dans un ordinateurordinateur mal protégé. C'est par ce vecteur qu'ils ont pu activer une connexion Wi-Fi. À partir de celle-ci, ils sont parvenus à se connecter à un autre réseau Wi-Fi dont la sécurité était défaillante. C'est avec ce réseau que le groupe s'est connecté à celui de la société cible. Le comble, c'est que ce dernier se trouvait simplement situé de l'autre côté de la rue. Autrement dit, les hackers ont progressé lentement, mais sûrement, au travers de réseaux pour atteindre leur but, et ce, sans laisser de traces de leur passage.

    À l'époque, Volexity était parvenu à neutraliser l'attaque, mais les hackers sont revenus à la charge via les réseaux déjà piratés et même en empruntant d'autres voies, comme celle d'un VPNVPN corrompu. C'est cette pratique très particulière avec un objectif clair qui a permis d'attribuer cette attaque à ce groupe ATP28, dont les méthodes ne peuvent être inspirées que par le Kremlin. L'histoire ne dit pas si les données collectées ont pu être d'une utilité quelconque pour servir au but de guerre de la Russie.