Campagne FrostArmada d'APT28 exploitant des vulnérabilités de routeurs
Une opération internationale des forces de l'ordre a réussi à perturber FrostArmada, une campagne sophistiquée de cyberespionnage orchestrée par APT28, l'unité de renseignement militaire russe également connue sous le nom de Fancy Bear. L'opération, annoncée le 7 avril 2026, a ciblé un réseau de routeurs grand public compromis que le groupe de menaces avait armé pour intercepter et voler les identifiants de compte Microsoft d'utilisateurs non méfiants.
La campagne FrostArmada représentait une évolution significative des tactiques d'APT28, allant au-delà du phishing traditionnel et de la distribution de logiciels malveillants pour des attaques au niveau de l'infrastructure. Les hackers russes ont systématiquement compromis des routeurs MikroTik et TP-Link dans plusieurs pays, transformant ces appareils en plateformes secrètes de collecte d'identifiants. En détournant le trafic réseau local, les attaquants pouvaient intercepter des jetons d'authentification et des identifiants de connexion lorsque les utilisateurs accédaient à des services Microsoft, y compris les plateformes Office 365, Outlook et Azure.
Selon des chercheurs en sécurité, la campagne exploitait des vulnérabilités connues dans le firmware des routeurs que de nombreux utilisateurs n'avaient pas corrigées. Les attaquants ont tiré parti de ces failles de sécurité pour installer des portes dérobées persistantes, leur permettant de surveiller le trafic réseau et d'extraire des données d'authentification précieuses sans être détectés. L'étendue de l'opération s'étendait aux réseaux résidentiels et de petites entreprises, où la surveillance de la sécurité est généralement minimale.
L'effort de perturbation a impliqué une action coordonnée de plusieurs agences internationales travaillant aux côtés de sociétés privées de cybersécurité. Les autorités chargées de l'application de la loi ont exécuté des opérations de démantèlement simultanées dans différentes juridictions, coupant l'infrastructure de commande et de contrôle qu'APT28 utilisait pour gérer le réseau de routeurs compromis. Cette approche collaborative s'est avérée essentielle compte tenu de la distribution mondiale des appareils affectés et de la nature transfrontalière de la menace.
Réseaux mondiaux de routeurs et utilisateurs de Microsoft ciblés
La campagne FrostArmada a principalement affecté les utilisateurs de MikroTik RouterOS et des versions de firmware TP-Link contenant des vulnérabilités de sécurité non corrigées. Les routeurs MikroTik exécutant des versions de RouterOS antérieures à 6.49.7 et 7.6 étaient particulièrement vulnérables, tout comme les appareils TP-Link avec un firmware datant de 2023 qui n'avaient pas reçu de mises à jour de sécurité critiques. La surface d'attaque comprenait à la fois des utilisateurs résidentiels et des petites et moyennes entreprises qui comptaient sur ces marques de routeurs populaires pour la connectivité Internet.
Les titulaires de comptes Microsoft représentaient la principale cible démographique, les identifiants volés pouvant potentiellement affecter des millions d'utilisateurs à travers les services Office 365, Microsoft 365, Azure Active Directory et Outlook. Les jetons d'authentification interceptés pouvaient accorder aux attaquants un accès persistant aux systèmes de messagerie d'entreprise, au stockage en nuage et aux plateformes collaboratives. Les organisations utilisant l'écosystème de Microsoft pour leurs opérations commerciales faisaient face à des risques accrus d'exfiltration de données, de compromission de messagerie et de mouvements latéraux au sein de leurs réseaux.
Géographiquement, la campagne montrait une concentration particulière en Amérique du Nord et en Europe, où les appareils MikroTik et TP-Link détiennent une part de marché significative parmi les segments de consommateurs et de petites entreprises. Le catalogue des vulnérabilités exploitées connues de la CISA avait précédemment signalé plusieurs des vulnérabilités de routeurs exploitées dans cette campagne, mais l'adoption des correctifs de sécurité restait incohérente parmi les utilisateurs affectés.
Compromission de routeurs et techniques de collecte d'identifiants
Les opérateurs d'APT28 ont employé une méthodologie d'attaque en plusieurs étapes qui commençait par la recherche de routeurs vulnérables exposés à Internet. Une fois identifiés, les attaquants exploitaient des vulnérabilités connues (CVEs) dans le firmware de MikroTik et TP-Link pour obtenir un accès initial. Le processus de compromission impliquait le téléchargement de scripts malveillants qui modifiaient les configurations des routeurs pour rediriger un trafic réseau spécifique via des serveurs proxy contrôlés par les attaquants.
Le mécanisme de collecte d'identifiants fonctionnait en interceptant le trafic HTTPS destiné aux points de terminaison d'authentification de Microsoft. Les routeurs compromis effectuaient des attaques de type homme du milieu, capturant des jetons OAuth, des cookies de session et des identifiants de connexion au passage à travers l'appareil. Cette technique s'est avérée particulièrement efficace car elle opérait au niveau de l'infrastructure réseau, contournant de nombreuses solutions de sécurité des points de terminaison que les utilisateurs pourraient avoir installées sur leurs ordinateurs ou appareils mobiles.
Pour se défendre contre des attaques similaires, les administrateurs réseau devraient immédiatement mettre à jour MikroTik RouterOS à la version 6.49.7 ou ultérieure pour la branche v6, ou à la version 7.6 ou ultérieure pour la branche v7. Les utilisateurs de TP-Link doivent installer les dernières versions de firmware disponibles via le portail de support du fabricant. De plus, les organisations devraient mettre en œuvre la segmentation du réseau, déployer un filtrage DNS pour bloquer les domaines malveillants connus et surveiller les modèles d'authentification inhabituels dans les journaux Microsoft 365. Les utilisateurs devraient également activer l'authentification multi-facteurs sur tous les comptes Microsoft et examiner régulièrement les sessions actives pour détecter les tentatives d'accès non autorisées.
