Posté le janvier 5, 2021 à 15:37
LES OPÉRATEURS DE LOGICIELS MALVEILLANTS LOCALISENT LEURS VICTIMES EN UTILISANT LE BSSID DES WIFI
Un rapport récent révèle que certains acteurs impliqués dans la menace des logiciels malveillants utilisent le BSSID ou ce qu’on appelle le WiFi AP MAC pour identifier les ordinateurs des victimes.
Les opérateurs de logiciels malveillants qui cherchent à connaître l’emplacement de l’hôte cible dépendent généralement d’une méthode simple consistant à prendre l’adresse IP de la victime et à la comparer à une base de données IP-to-géo pour obtenir sa position géographique.
Ils utilisent une BSSID-to-geodatabase comme Mylnikov pour vérifier l’adresse IP de la victime, ce qui permet au logiciel malveillant de trouver l’emplacement physique du point d’accès wifi visé.
Lorsque les acteurs malveillants utilisent les deux méthodes en vérifiant l’adresse IP et en trouvant l’emplacement géographique, cela les aide à vérifier si la recherche d’emplacement basée sur l’adresse IP d’origine avec la méthode BSSID est correcte.
La première technique n’est pas efficace
Selon le rapport, ces acteurs déterminent généralement l’emplacement de la victime parce qu’ils ne veulent pas infecter les victimes de leur comté pour éviter que les forces de l’ordre interviennent.
Dans d’autres cas, les opérateurs de logiciels malveillants peuvent rechercher un emplacement spécifique lorsqu’ils veulent s’assurer que leurs attaques ne visent que des pays spécifiques, comme les hackers parrainés par l’État.
Mais il y a généralement un problème avec les bases de données IP-to-geo. Elles sont réputées pour leurs résultats très peu précis.
Dans certains cas, les centres de données et les opérateurs de télécommunications louent ou achètent des blocs d’adresses IP sur le marché libre. Par conséquent, certains des blocs d’adresses IP peuvent être donnés à d’autres institutions dans un autre pays ou une autre région par leur propriétaire d’origine.
Une deuxième technique découverte
Bien que l’approche ne donne pas de résultats précis, les hackers trouvent toujours utile, lorsqu’ils limitent le nombre de leurs victimes, d’inclure principalement celles qu’ils ciblent spécifiquement. Et la méthode reste l’un des meilleurs moyens de déterminer la localisation réelle de l’utilisateur sur la base des informations disponibles sur l’ordinateur.
Mais il semble que certains acteurs malveillants aient trouvé un autre moyen de détecter la localisation géographique des utilisateurs qui pourrait être plus efficace.
Un chercheur en sécurité du SANS Internet Storm Center Xaver Mertens a révélé que certains acteurs utilisent une nouvelle version de logiciel malveillant pour identifier la localisation géographique des utilisateurs.
La seconde méthode utilise l’identifiant de l’ensemble des services de base (Basic Service Set Identifier – BSSID) des utilisateurs infestés pour obtenir leur localisation.
Il s’agit du point d’accès WiFi de l’utilisateur ou de l’adresse physique MAC du routeur sans fil. Selon Mertens, la nouvelle version de logiciel malveillant qu’il a observée collecte l’identifiant de base de l’utilisateur et le compare à une BSSID-to-geodatabase gratuite de Mylnikov.
Mertens a également déclaré que les bases de données ne sont pas difficiles à rassembler de nos jours car elles sont utilisées par plusieurs opérateurs d’applications mobiles pour suivre les utilisateurs en l’absence d’accès direct aux données de localisation de leur téléphone.
Un bon exemple est l’application WIGLE, qui est un service très populaire pour ce type de service BSSID-to-geo.
Lorsque les acteurs malveillants vérifient le BSSID à l’aide de la base de données de Mylnikov, le logiciel malveillant est en mesure de trouver l’emplacement physique du point d’accès WiFi de la victime. Le nouveau processus est encore plus précis que la technique précédente, ce qui signifie que les acteurs malveillants sont plus efficaces dans la recherche de l’emplacement géographique.
Bien que la deuxième technique de double vérification de la localisation géographique de la victime ne soit pas très courante aujourd’hui, la méthode s’est avérée plus bénéfique pour les utilisateurs. Et avec ses avantages supplémentaires d’efficacité, le chercheur pense qu’il ne faudra pas longtemps pour que d’autres opérateurs de logiciels malveillants commencent à adopter cette technique à l’avenir.
Comment se protéger contre les exploits
Plusieurs entreprises sont passées de la technologie câblée à la technologie sans fil. En conséquence, elles sont désormais plus exposées aux problèmes de sécurité car les acteurs malveillants exploitent toutes les failles possibles.
De nombreuses entreprises ne procèdent pas non plus à une analyse de risque efficace. Par conséquent, il arrive que la vulnérabilité ne soit pas identifiée et traitée à temps avant que les acteurs malveillants ne lancent une attaque.
En raison de ces failles et de leur facilité d’exploitation, les attaques de réseaux sans fil sont généralement courantes.
Les attaquants sont toujours à la recherche de nouveaux moyens plus efficaces d’exploiter leurs victimes et d’accéder à des données privées et sensibles. Les chercheurs en sécurité ont conseillé aux utilisateurs de changer rapidement leur SSID et leur mot de passe par défaut, ce qui rendra plus difficile l’exploitation de leur point d’accès WiFi.
