Fancy Bear s’invite dans votre salon : 18 000 routeurs détournés par le GRU
Fancy Bear, le bras armé numérique du renseignement militaire russe (GRU), vient de nous rappeler une règle de base de l'hygiène numérique : si vous ne mettez pas à jour votre routeur, quelqu'un d'autre s'en chargera pour vous. Cette fois, ce ne sont pas moins de 18 000 appareils, principalement des modèles MikroTik et TP-Link, qui ont été transformés en relais d'espionnage à travers 120 pays.
L'art de recycler les vieilles failles
Le mode opératoire est d'une simplicité désarmante. Au lieu de s'attaquer à des forteresses numériques ultra-protégées, les hackers ont jeté leur dévolu sur des routeurs domestiques et de petites entreprises dont le logiciel interne (firmware) n'avait pas vu de mise à jour depuis des années. En exploitant des vulnérabilités déjà connues mais non corrigées par les propriétaires, APT 28 a pu prendre le contrôle total de ces équipements sans éveiller le moindre soupçon.
Selon les rapports du NCSC (le centre de cybersécurité britannique) et de Black Lotus Labs, cette campagne est « opportuniste ». Les hackers lancent un large filet pour attraper le plus de victimes possible, avant de sélectionner manuellement les cibles présentant un intérêt stratégique pour le renseignement russe.
Le vol de jetons pour ignorer la double authentification
Pourquoi s'embêter à craquer un mot de passe complexe ou à intercepter un code SMS quand on peut simplement détourner le trafic à la source ? En modifiant les paramètres DNS des routeurs compromis, les pirates redirigeaient les requêtes des victimes vers des sites miroirs sous leur contrôle. L'objectif final est le vol de jetons d'accès (tokens).
C'est ici que la méthode devient redoutable : elle permet de contourner la double authentification (2FA). Une fois le jeton en poche, le hacker peut se connecter à vos comptes en ligne comme s'il était vous, sans jamais avoir besoin de ce fameux code de sécurité envoyé sur votre téléphone. Microsoft a d'ailleurs identifié plus de 5 000 appareils grand public et 200 organisations touchés par cette manœuvre, incluant des agences gouvernementales en Afrique et en Asie du Sud-Est.
Le grand ménage des autorités
La récréation est toutefois terminée pour ce botnet spécifique. Une coalition internationale incluant le FBI et des acteurs privés comme Lumen a réussi à démanteler l'infrastructure des hackers. Plusieurs domaines utilisés pour piloter l'attaque ont été mis hors ligne, neutralisant temporairement les capacités de Fancy Bear sur ce réseau. Cependant, le problème de fond demeure : des milliers d'appareils restent vulnérables dans la nature, attendant simplement la prochaine vague d'attaques.
Si la sécurité des infrastructures réseau vous préoccupe, sachez que les constructeurs tentent de réagir. Par exemple, Apple colmate les brèches contre des outils sophistiqués comme le kit DarkSword, illustrant la course permanente entre les correctifs de sécurité et les méthodes d'intrusion de plus en plus créatives.
