12 août 2019
Après avoir mis la main sur le numéro du service presse (souvent exposé), l’équipe a composé des numéros suivant le même format. Les appels passés hors des horaires de travail visaient à lister des boîtes vocales du type « Vous êtes sur la boîte vocale de <prénom nom>, veuillez laisser un message ».
Quelques noms ont pu être collectés et une enquête a été menée sur chaque personne identifiée pour construire les scénarios les plus adaptés.
Une plate-forme d’appels a été utilisée pour falsifier le numéro de téléphone « appelant ». L’accueil a été contacté en usurpant le numéro d’un employé. L’arrivée de deux « consultants » dans la matinée leur a été indiquée. L’employé ne pouvait pas aller les chercher, prétextant un problème : « Pourriez-vous créer deux badges pour eux ? Ils sont déjà venus, ils connaissent la maison ».
Une fois dans les locaux et munis de leurs badges, l’exploration des lieux les a menés à une pièce qui semblait parfaite pour dissimuler un implant physique. Une fois l’implant connecté au réseau et caché derrière une imprimante, un accès Wi-Fi était fourni à l’équipe qui attendait dehors dans une voiture. Elle avait alors accès au réseau interne.
Un peu plus tard, un compte utilisateur valide leur a permis d’exploiter une mauvaise configuration du contrôleur de domaine et de collecter les mots de passe en clair des comptes admin locaux. Quelques actions après, le compte d’administrateur de domaine était compromis.
Le but principal était d’avoir accès — en étant authentifié — à un client lourd utilisé par certains employés. Après avoir identifié les personnes qui avaient accès à l’application, des recherches approfondies ont été effectuées sur leurs ordinateurs. Ce procédé a permis d’accéder directement au client lourd pendant que les employés déjeunaient.
La sécurité a été mise à mal, avec succès, par la Red team.