Des hackers russes ciblent vos routeurs domestiques
Original : The US government warns that Russia state hackers are coming after your router
Pourquoi c'est important
Les botnets de routeurs deviennent un vecteur majeur d'espionnage étatique mondial.
La CISA américaine alerte lundi sur des cyberattaques du FSB russe (Centre 16) visant des routeurs domestiques et de bureau. Les appareils compromis servent de proxies pour attaquer des secteurs critiques. L'avis est co-signé par l'Australie, le Danemark, la Nouvelle-Zélande et le Royaume-Uni.
La Cybersecurity and Infrastructure Security Agency (CISA) a publié lundi une alerte conjointe avec plusieurs gouvernements alliés — dont l'Australie, le Danemark, la Nouvelle-Zélande et le Royaume-Uni — concernant des cyberattaques menées par des acteurs affiliés au FSB russe (Centre 16), également connus sous les noms Berserk Bear, Energetic Bear, Dragonfly ou Ghost Blizzard.
Ces groupes exploitent des routeurs mal configurés en scannant des plages d'adresses IP dont les agents SNMP (Simple Network Management Protocol) acceptent des identifiants par défaut ou faibles. En exploitant SNMP versions 1 et 2 — qui ne chiffrent pas les mots de passe — les attaquants déploient des malwares pour prendre le contrôle des appareils. Les routeurs compromis sont ensuite utilisés comme nœuds de sortie (proxies résidentiels) pour masquer les attaques contre des cibles dans les secteurs des communications, de la défense, de l'énergie, des services financiers et des administrations publiques.
La CISA recommande notamment de désactiver SNMP v1 et v2, d'utiliser uniquement SNMP v3, et de vérifier la configuration des appareils. Ce phénomène n'est pas nouveau : la Chine et la Russie se disputent le contrôle de botnets de routeurs depuis plusieurs années.