Des chercheurs en sécurité et des agences gouvernementales ont découvert une campagne de cyberattaque massive et de longue durée impliquant le piratage de milliers de routeurs domestiques et de petites entreprises. L’opération, liée au groupe parrainé par l’État russe Fancy Bear (APT 28), a été conçue pour intercepter le trafic Internet et voler les mots de passe et les jetons d’accès d’utilisateurs sans méfiance dans le monde entier.
Les mécanismes de l’attaque : comment les routeurs deviennent des logiciels espions
Les pirates n’ont pas ciblé directement les ordinateurs individuels ; au lieu de cela, ils ont compromis le point d’entrée du réseau : le routeur. En exploitant des vulnérabilités non corrigées dans les appareils fabriqués par MikroTik et TP-Link, les attaquants ont pris le contrôle du matériel lui-même.
Une fois qu’un routeur était compromis, les pirates modifiaient ses paramètres pour effectuer une redirection de style « homme du milieu ». Ce processus fonctionne comme suit :
1. Redirection du trafic : Les requêtes Internet légitimes de la victime sont subrepticement acheminées via une infrastructure contrôlée par les pirates.
2. Spoofing : Les utilisateurs sont dirigés vers de fausses versions de sites Web légitimes (tels que des fournisseurs de messagerie ou des portails bancaires).
3. Vol d’identifiants : Lorsque les utilisateurs saisissent leurs informations de connexion, les pirates informatiques capturent leurs mots de passe et leurs jetons de session.
Pourquoi est-ce important : En volant des jetons de session, les pirates peuvent contourner l’authentification à deux facteurs (2FA). Cela leur permet de détourner des comptes en ligne actifs sans jamais avoir besoin du code de sécurité secondaire de la victime, rendant inefficace l’une des défenses modernes les plus courantes.
Une échelle mondiale : des ménages aux agences gouvernementales
L’ampleur de l’opération est vaste, caractérisée par ce que les experts appellent une approche « opportuniste ». Plutôt que de cibler des individus spécifiques dès le départ, les pirates ont ratissé un large réseau pour infecter autant d’appareils que possible, puis filtré les données pour trouver des cibles de grande valeur.
Les données de divers organismes de recherche mettent en évidence l’ampleur de l’infection :
– Black Lotus Labs (Lumen) : a identifié au moins 18 000 victimes dans environ 120 pays, y compris les forces de l’ordre, les ministères et les fournisseurs de messagerie en Afrique du Nord, en Amérique centrale et en Asie du Sud-Est.
– Microsoft : a signalé avoir identifié plus de 200 organisations et 5 000 appareils grand public concernés, dont au moins trois entités gouvernementales en Afrique.
Les acteurs derrière la campagne
Le groupe identifié comme l’auteur est Fancy Bear, également connu sous le nom de APT 28. Il est largement admis que ce groupe est affilié à l’agence de renseignement militaire russe, le GRU.
Fancy Bear a un historique documenté d’espionnage à enjeux élevés et d’opérations perturbatrices, notamment :
* La violation du Comité national démocrate (DNC) aux États-Unis en 2016.
* Le piratage destructeur de 2022 ciblant le fournisseur de satellite Viasat.
Contre-mesures et perturbations
En réponse à cette campagne, une coalition mondiale comprenant le FBI et Lumen a pris des mesures pour perturber l’infrastructure des pirates. Cet effort consistait notamment à mettre hors ligne un botnet à grande échelle et à perturber plusieurs domaines utilisés pour faciliter les attaques.
Le principal point à retenir pour les utilisateurs est l’importance cruciale de la maintenance du matériel. Étant donné que les attaquants se sont appuyés sur des logiciels obsolètes et des vulnérabilités non corrigées, bon nombre de ces appareils sont restés vulnérables pendant des années à l’insu de leurs propriétaires.
Conclusion : Cette campagne démontre comment les attaquants ciblent de plus en plus l’infrastructure réseau plutôt que les appareils des utilisateurs finaux pour contourner les couches de sécurité modernes telles que 2FA. Le maintien à jour des micrologiciels sur tout le matériel connecté à Internet reste une défense vitale contre ces menaces sophistiquées parrainées par l’État.
