Des hackers russes ont piraté des milliers de routeurs domestiques pour voler des mots de passe, selon des chercheurs
Des hackers du gouvernement russe détournent des routeurs dans une vaste campagne d'espionnage
Des hackers du gouvernement russe ont compromis des milliers de routeurs domestiques et de petites entreprises dans le monde entier afin de voler des mots de passe et des jetons d'authentification, selon des chercheurs en sécurité et les autorités britanniques.
La campagne est liée à Fancy Bear, également connu sous le nom d'APT28, un groupe de hackers de longue date largement considéré comme opérant sous l'agence de renseignement GRU de la Russie. Le groupe a un historique d'intrusions de haut niveau, y compris la violation de 2016 du Comité national démocrate et l'attaque destructrice de 2022 contre le fournisseur de satellites Viasat.
Des chercheurs de Black Lotus Labs de Lumen et du National Cyber Security Centre du gouvernement britannique ont déclaré que les hackers avaient ciblé des routeurs MicroTik et TP-Link non patchés en utilisant des vulnérabilités précédemment divulguées. De nombreux appareils affectés fonctionnaient avec des logiciels obsolètes, permettant aux attaquants de s'introduire à distance sans que les propriétaires ne le sachent.
Une fois à l'intérieur, les hackers ont modifié les paramètres des routeurs afin que les requêtes internet des victimes soient discrètement acheminées via une infrastructure contrôlée par les attaquants. Cette configuration leur a permis de diriger les utilisateurs vers des sites web falsifiés et de capturer des identifiants et des jetons qui pourraient être utilisés pour accéder à des comptes en ligne, même sans codes d'authentification à deux facteurs.
Le NCSC a déclaré que l'activité est « probablement de nature opportuniste », les attaquants jetant un large filet avant de se concentrer sur des cibles d'intérêt pour le renseignement. Black Lotus Labs a déclaré que Fancy Bear avait compromis au moins 18 000 victimes dans environ 120 pays.
Parmi les personnes touchées figuraient des départements gouvernementaux, des agences d'application de la loi et des fournisseurs de services de messagerie en Afrique du Nord, en Amérique centrale et en Asie du Sud-Est.
Ces découvertes s'ajoutent à un corpus croissant de preuves que le matériel réseau ordinaire reste une cible précieuse pour l'espionnage soutenu par l'État. Dans ce cas, la compromission d'un routeur a suffi à donner aux attaquants un moyen d'observer le trafic, de rediriger les utilisateurs et de collecter les données de connexion nécessaires pour s'introduire dans d'autres comptes.
Sources :
Naviguez en privé avec Doppler VPN — pas de journaux, connexion en un clic.