Campagne de détournement de routeurs APT28 cible l'infrastructure des consommateurs
Le groupe de menaces persistantes avancées lié à la Russie, APT28, également suivi sous le nom de Forest Blizzard par Microsoft, a lancé une campagne sophistiquée en mai 2025 qui a systématiquement compromis les routeurs MikroTik et TP-Link non sécurisés dans plusieurs régions. Les chercheurs en sécurité ont découvert que le groupe avait modifié les configurations des routeurs pour établir des portes dérobées persistantes, transformant efficacement l'équipement de réseau consommateur légitime en infrastructure de commande et de contrôle pour des opérations d'espionnage.
La campagne représente un changement significatif dans les tactiques d'APT28, allant au-delà de la compromission traditionnelle des points d'extrémité pour cibler les dispositifs de réseau périphériques qui manquent souvent de surveillance de sécurité robuste. Le groupe a exploité des identifiants par défaut, des vulnérabilités de firmware non corrigées et des interfaces administratives faibles pour obtenir un accès initial aux routeurs. Une fois à l'intérieur, ils ont installé des modifications de firmware personnalisées qui ont survécu aux redémarrages des appareils et aux réinitialisations d'usine, garantissant un accès persistant à l'infrastructure compromise.
Les opérateurs d'APT28 ont démontré une compréhension sophistiquée des architectures de routeurs, en mettant en œuvre des techniques stéganographiques pour cacher le trafic malveillant dans les communications réseau légitimes. Les appareils compromis ont servi à plusieurs fonctions, y compris la redirection de trafic, la collecte d'identifiants à partir de communications interceptées, et agissant comme points de pivot pour des mouvements latéraux dans les réseaux d'entreprise connectés. Les agences de renseignement ont lié cette campagne à des objectifs d'espionnage parrainés par l'État russe visant les agences gouvernementales occidentales, les sous-traitants de la défense et les opérateurs d'infrastructures critiques.
L'ampleur de l'opération est devenue apparente lorsque les entreprises de cybersécurité ont identifié des attaques coordonnées à travers l'Amérique du Nord, l'Europe et la région Asie-Pacifique. Le catalogue des vulnérabilités exploitées connues de la CISA a été mis à jour pour refléter plusieurs vulnérabilités de routeurs activement exploitées dans cette campagne, soulignant le besoin urgent pour les organisations d'auditer leurs dispositifs de périmètre réseau.
Modèles de routeurs vulnérables et organisations affectées
La campagne a principalement ciblé les appareils MikroTik RouterOS exécutant des versions de firmware antérieures à 7.14.2 et les routeurs de la série TP-Link Archer avec un firmware antérieur aux versions de mars 2025. Les modèles spécifiques identifiés incluent MikroTik hAP ac2, hAP ac3, et la série Cloud Core Router, ainsi que les variantes TP-Link Archer AX6000, AX3000, et AC1750. Les organisations utilisant ces appareils avec des identifiants administratifs par défaut ou des politiques de mot de passe faibles ont fait face au plus grand risque de compromission.
Les petites et moyennes entreprises se sont révélées particulièrement vulnérables en raison de ressources limitées en sécurité informatique et de pratiques de mise à jour de firmware peu fréquentes. Cependant, la campagne a également affecté de plus grandes entreprises qui ont déployé des routeurs de qualité consommateur dans des bureaux de succursales ou des environnements de travail à distance sans durcissement de sécurité approprié. Les agences gouvernementales dans les pays d'Europe de l'Est ont signalé une activité réseau suspecte remontant à une infrastructure de routeurs compromise, tandis que plusieurs sous-traitants de la défense ont découvert une exfiltration de données non autorisée via des dispositifs périphériques détournés.
La distribution géographique des appareils compromis suggère qu'APT28 a priorisé les cibles dans les pays membres de l'OTAN, avec une activité concentrée en Pologne, en Estonie et en Lituanie. Les travailleurs à distance utilisant des routeurs personnels pour des connexions VPN d'entreprise ont involontairement fourni des vecteurs d'attaque dans les réseaux d'entreprise, soulignant les risques de sécurité des arrangements de travail hybrides. Les fournisseurs de télécommunications ont également signalé des compromissions d'équipements chez les clients qui ont permis l'interception de trafic et des attaques de type homme du milieu contre des cibles de grande valeur.
Étapes de mitigation et durcissement de la sécurité des routeurs
Les organisations doivent immédiatement auditer tous les appareils MikroTik et TP-Link dans leur infrastructure réseau et mettre en œuvre des mesures de sécurité complètes. Pour les appareils MikroTik, les administrateurs doivent mettre à niveau vers la version RouterOS 7.14.2 ou ultérieure, qui corrige plusieurs vulnérabilités exploitées par APT28. Les utilisateurs de TP-Link doivent installer les mises à jour de firmware publiées après mars 2025 et vérifier l'intégrité des configurations existantes par des procédures de réinitialisation d'usine suivies d'une reconfiguration sécurisée.
Les étapes critiques de durcissement incluent le changement des identifiants administratifs par défaut en mots de passe complexes dépassant 16 caractères, la désactivation des services inutiles comme SSH et Telnet sur les interfaces WAN, et la mise en œuvre de la segmentation du réseau pour isoler le trafic de gestion des routeurs. Les organisations devraient activer la journalisation sur tous les appareils de routeur et configurer une collecte centralisée des journaux pour détecter les activités administratives suspectes. Le Microsoft Security Response Center recommande de mettre en œuvre des politiques de contrôle d'accès réseau qui restreignent l'administration des routeurs à des plages IP spécifiques et exigent une authentification multi-facteurs pour l'accès administratif.
Les stratégies de détection impliquent la surveillance des changements de configuration inattendus, des connexions réseau sortantes inhabituelles à partir des appareils de routeur, et des requêtes DNS vers des domaines suspects. Les équipes de sécurité devraient établir des modèles de comportement réseau de référence et mettre en œuvre des alertes automatisées pour les écarts qui pourraient indiquer une compromission. Pour les organisations qui ne peuvent pas immédiatement remplacer les appareils vulnérables, la mise en œuvre d'une surveillance réseau supplémentaire et la restriction de l'accès Internet des routeurs via des pare-feu en amont offrent une réduction temporaire des risques jusqu'à ce qu'une remédiation appropriée puisse avoir lieu.
