Pourquoi est-ce important: Les pirates ont un nouveau vecteur d’attaque avec lequel ils ont joué au cours des deux dernières années : les kits de pénétration de drones. Les drones sont devenus beaucoup plus performants au cours des dernières années, ce qui en fait une option viable pour placer secrètement des équipements d’intrusion à proximité d’un réseau. Autrefois juste un domaine de recherche théorique sur la sécurité, on trouve maintenant des drones de piratage dans la nature.
Cette semaine, The Register a rendu compte d’une attaque de drone qui passé au cours de l’été. La société d’investissement privée compromise a gardé l’incident secret mais a accepté d’en parler aux chercheurs en sécurité dans le cadre d’un accord de non-divulgation.
Les administrateurs réseau ont découvert que la page Confluence interne de l’entreprise présentait un comportement étrange au sein du réseau local. Confluence est un logiciel Web de collaboration à distance développé par Atlasian.
En enquêtant sur l’incident, le personnel de sécurité a découvert deux drones sur le toit du bâtiment. L’un était un “DJI Matrice 600 modifié” et l’autre était un “DJI Phantom modifié”. Le Matrice s’était écrasé mais était toujours opérationnel, et le Phantom avait atterri en toute sécurité.
La Matrice était équipée d’un kit de pénétration (kit stylo) composé d’un Raspberry Pi, d’un mini ordinateur portable GDP, d’un modem 4G, d’un appareil WiFi et de plusieurs batteries. Le Phantom transportait un dispositif de test de pénétration du réseau développé par Hak5 appelé WiFi Pineapple.
Le chercheur en sécurité Greg Linares, qui s’est entretenu avec l’équipe informatique de l’entreprise, a déclaré que les mauvais acteurs avaient utilisé le Phantom quelques jours avant l’attaque pour intercepter les informations d’identification et le WiFi d’un employé. Ils ont ensuite codé les informations volées dans l’équipement de pénétration du drone Matrice.
Le drone Matrice a compromis la page Confluence de l’entreprise depuis le toit en utilisant l’adresse MAC et les identifiants d’accès de l’employé. Ils ont fouillé les journaux de Confluence en essayant de voler plus de connexions pour se connecter à d’autres appareils internes, mais ont eu un “succès limité”.
Les administrateurs savaient que le réseau était attaqué lorsqu’ils ont remarqué que l’adresse MAC de l’employé compromis était connectée localement et depuis son domicile à plusieurs kilomètres de là. L’équipe de sécurité a isolé le signal Wi-Fi et a utilisé un testeur Fluke pour trace et localisez l’appareil sur le toit.
Linares a déclaré qu’il s’agissait de la troisième cyberattaque basée sur un drone qu’il a vue au cours des deux dernières années, mais que le vecteur d’attaque doit encore être amélioré. La seule raison pour laquelle celui-ci a eu un certain succès était que l’entreprise se trouvait sur un réseau temporaire qui n’était pas entièrement sécurisé.
“Les attaquants ont spécifiquement ciblé un réseau à accès limité, utilisé à la fois par un tiers et en interne, qui n’était pas sécurisé en raison de changements récents au sein de l’entreprise (par exemple, restructuration/rebranding, nouveau bâtiment, nouveau bail de construction, nouvelle configuration du réseau ou une combinaison de l’un de ces scénarios)”, a déclaré Linares à The Register.
Même sur ce réseau affaibli, l’attaque a tout de même nécessité des semaines de “reconnaissance interne”.
“Il s’agissait certainement d’un acteur menaçant qui a probablement effectué une reconnaissance interne pendant plusieurs semaines, était physiquement proche de l’environnement cible, disposait d’un budget approprié et connaissait ses limites de sécurité physique”, a déclaré Linares.
Les chercheurs en sécurité ont expérimenté les drones dès 2011. À cette époque, les drones disponibles dans le commerce étaient trop faibles pour transporter les charges utiles requises. Leur portée était également si limitée que l’attaquant devrait être sur place pour une intrusion, ce qui irait à l’encontre de l’objectif.
Aujourd’hui, les drones sont beaucoup plus avancés et puissants, comme le montre cet exemple. Les progrès continus des drones et le raffinement de ce vecteur d’attaque pourraient en faire une menace plus grave dans les années à venir.