FireEye ne peut confirmer comment les identifiants initiaux ont été volés dans l'incident de 2016 ; toutefois, plus tard au cours de l'intrusion, Responder a été déployé. Cet outil permettant à un attaquant de "sniffer" des mots de passe dans le trafic réseau, il a pu être utilisé sur le réseau WiFi de l'hôtel pour obtenir les identifiants de l'utilisateur.
Des menaces de longue date visant les voyageurs
L'activité de cyber espionage visant l'industrie hôtellière se concentre typiquement sur la collecte d'informations sur ou à partir des clients dignes d'intérêt des hôtels plutôt que sur les établissements eux mêmes, même si des acteurs malveillants peuvent aussi collecter des informations sur l'hôtel comme un moyen de faciliter leurs opérations. Les hommes d'affaires et les agents gouvernementaux qui voyagent, spécialement dans un pays étranger, s'appuient souvent sur des systèmes dans le cadre de leurs activités qui sont différents de ceux qu'ils utilisent à leur bureau, et peuvent ne pas être conscients des menaces auxquelles ils s'exposent lorsqu'ils sont à l'étranger.
APT28 n'est pas le seul groupe qui cible les voyageurs. Le Fallout Team (aka Darkhotel) lié à la Corée du Sud a utilisé des mises à jour frauduleuses de logiciels sur des réseaux WiFi infectés dans des hôtels en Asie, et le malware Duqu 2.0 a été trouvé sur les réseaux d'hôtels européens utilisés par les participants aux négociations sur le nucléaire iranien. De plus, diverses sources font état depuis plusieurs années qu'en Russie et en Chine, des clients importants peuvent s'attendre à voir leurs ordinateurs et d'autres équipements électroniques accédés à leur insu dans leurs chambres d'hôtel.
Perspectives et implications
Ces incidents révèlent qu'un nouveau vecteur d'infection est utilisé par APT28. Ce groupe exploite le faible niveau de sécurité des réseaux WiFi des hôtels pour voler des identifiants, et un utilitaire d'infection de NetBIOS Name Service afin de mener des escalades de privilèges. Les capacités et les tactiques déjà très étendues d'APT28 continuent de s'accroître et de s'affiner au fur et à mesure qu'il étend ses vecteurs d'infection.
Les voyageurs doivent être conscients des menaces auxquelles ils s'exposent - spécialement lorsqu'ils sont dans des pays étrangers - et prendre des précautions supplémentaires pour protéger leurs systèmes et leurs données. Les réseaux WiFi ouverts au public présentent une menace significative et doivent être évités dans la mesure du possible.