NCSC avertit : routeurs vulnérables et trafic intercepté

Le Centre national de cybersécurité britannique (NCSC) a publié un avis avertissant qu'un groupe de pirates informatiques lié à l'État russe exploite des routeurs vulnérables pour intercepter le trafic web et dérober des identifiants de connexion.

Que s'est-il passé ?

Selon le NCSC, le groupe connu sous le nom d'APT28 (identifié comme l'unité 26165 du GRU russe) cible des routeurs afin de réécrire leurs paramètres DHCP et DNS. Une fois ces paramètres modifiés, le routeur achemine le trafic internet vers des serveurs contrôlés par les attaquants plutôt que vers votre fournisseur d'accès légitime.

Cette technique est appelée attaque par adversaire interposé (adversary-in-the-middle). Elle permet aux attaquants de s'interposer silencieusement entre vous et les sites web que vous consultez, en collectant des mots de passe, des jetons OAuth (ceux utilisés lorsque vous vous connectez via Google ou un autre compte) ainsi que d'autres identifiants pour des services web et de messagerie.

Selon l'avis du NCSC, l'activité semble être opportuniste. Les attaquants lancent un filet large, puis filtrent pour ne retenir que les cibles qu'ils considèrent comme présentant un intérêt en matière de renseignement.

Que dit le NCSC ?

Le NCSC a publié des indicateurs de compromission en parallèle de l'avis, offrant aux équipes techniques des éléments concrets à vérifier. L'avis comprend également des mesures d'atténuation, c'est-à-dire des étapes pratiques que les organisations peuvent mettre en œuvre pour réduire leur exposition.

Les risques mis en avant par le NCSC sont le vol d'identifiants, la manipulation de données et une compromission plus large des systèmes. En d'autres termes, si un attaquant peut rediriger discrètement votre trafic, il peut collecter des informations de connexion sans que vous ne vous en aperceviez.

L'avis fait référence à plusieurs techniques du référentiel MITRE ATT&CK, notamment T1557 (adversaire interposé), T1583.002, T1583.003, T1584.008, T1588.006 et T1586.

Qu'est-ce que cela signifie pour votre activité ?

Si votre entreprise utilise un routeur qui n'a pas été mis à jour ou sécurisé, il pourrait être vulnérable à ce type d'attaque. Cela signifie que les identifiants de connexion de vos clients ou vos propres informations d'administration pourraient être interceptés sans aucun signe visible de problème. Vérifier que le micrologiciel de votre routeur est à jour et que les paramètres par défaut ont été modifiés est une démarche simple qu'il vaut la peine d'entreprendre dès maintenant. Vous trouverez des conseils pratiques pour sécuriser votre activité dans notre liste de contrôle de sécurité pour les petites entreprises.

Source : Avis du NCSC sur les opérations de détournement DNS par APT28