Russian State-Linked APT28 Exploits SOHO Routers in Global DNS Hijacking Campaign
Mis à jour :
Campagne d’espionnage « FrostArmada » : Détournement DNS via routeurs SOHO
Le groupe APT28 (également connu sous le nom de Forest Blizzard) a orchestré une vaste campagne d’espionnage informatique, baptisée « FrostArmada », visant à compromettre des routeurs domestiques et de petites entreprises (SOHO) pour intercepter du trafic réseau à l’échelle mondiale.
Points clés :
- Mode opératoire : Les attaquants prennent le contrôle de routeurs MikroTik et TP-Link, puis modifient leurs paramètres DNS pour rediriger les requêtes des utilisateurs vers des serveurs malveillants.
- Objectif : Mise en place d’attaques de type Adversary-in-the-Middle (AitM) pour récolter passivement des identifiants (mots de passe, jetons OAuth) liés aux services cloud et email.
- Cibles : Plus de 200 organisations (ministères, forces de l’ordre, services cloud) dans 120 pays ont été impactées.
- État actuel : L’infrastructure d’attaque a été démantelée suite à une opération coordonnée par les autorités américaines et internationales.
Vulnérabilités identifiées :
- CVE-2023-50224 : Vulnérabilité de contournement d’authentification sur les routeurs TP-Link WR841N, permettant l’extraction de mots de passe via des requêtes HTTP GET.
Recommandations de sécurité :
- Mise à jour des équipements : Appliquer immédiatement les derniers correctifs de micrologiciel (firmware) fournis par les constructeurs pour fermer les failles connues.
- Sécurisation de l’administration : Désactiver l’accès à l’interface d’administration du routeur depuis le réseau public (Internet).
- Configuration DNS : Vérifier les paramètres DNS du routeur pour s’assurer qu’ils pointent vers des serveurs légitimes et non des adresses inconnues.
- Hygiène réseau : Renforcer les mots de passe d’accès par défaut des appareils périphériques (edge devices) et suivre les recommandations du NCSC ou des autorités locales pour sécuriser les équipements SOHO.