Des milliers de routeurs piratés par l'armée russe

Introduction

Les forces militaires russes ont lancé une nouvelle opération de piratage à grande échelle, visant des routeurs grand public et ceux utilisés dans de petits bureaux. Cette attaque a pour but de voler des informations d'identification et des jetons d'accès pour alimenter des campagnes d'espionnage.

Contexte Technique

Les chercheurs de Lumen Technologies’ Black Lotus Labs ont découvert que entre 18 000 et 40 000 routeurs, principalement des modèles MikroTik et TP-Link, situés dans 120 pays, ont été compromis. Ces routeurs ont été intégrés dans l'infrastructure d'APT28, un groupe de menaces avancées faisant partie de l'agence de renseignement militaire russe, le GRU.

Les attaquants ont exploité des vulnérabilités de sécurité connues sur des modèles de routeurs plus anciens qui n'avaient pas été corrigés. Ils ont ensuite modifié les paramètres DNS pour des domaines sélectionnés et utilisé le protocole de configuration dynamique d'hôte pour les propager aux postes de travail connectés au routeur.

Analyse et Implications

Ces attaques soulignent la sophistication technique et la volonté du groupe de menaces de réutiliser des méthodes éprouvées, même après une exposition publique. L'utilisation de modèles de langage grandeur nature (LLM) comme « LAMEHUG » montre leur capacité à intégrer des outils de pointe dans leurs campagnes.

Les implications de ces attaques sont graves, car elles permettent aux attaquants d'intercepter des informations sensibles et de compromettre la sécurité des réseaux visés. Les organisations doivent être conscientes de ces risques et prendre des mesures pour se protéger, notamment en mettant à jour leurs routeurs et en surveillant les activités suspectes.

Perspective

Il est essentiel de suivre de près les activités d'APT28 et de comprendre les limites de ces attaques pour développer des stratégies de défense efficaces. Les organisations doivent également être conscientes des vulnérabilités de leurs infrastructures et prendre des mesures pour les corriger, afin de prévenir de futures attaques.