En début de semaine, une alerte technique a été diffusée conjointement par le centre de cybersécurité britannique (NCSC), le FBI et le département américain de la Sécurité intérieure pour avertir des méthodes utilisées par des hackers soutenus par le gouvernement russe dans une campagne de cyberespionnage engagée depuis trois ans. Ces attaques ciblent des agences gouvernementales, des entreprises et des fournisseurs d’infrastructures critiques et de services Internet à travers leurs équipements réseaux, commutateurs, firewalls et systèmes de détection d’intrusion.

Le rapport diffusé ce lundi par les trois instances gouvernementales est destiné à informer les fournisseurs de matériel réseaux, les organisations potentiellement ciblées et les utilisateurs de routeurs domestiques et à leur communiquer des informations pour identifier ces activités malveillantes afin de réduire les risques d’exposition. Cette communication intervient à un moment où les relations avec la Russie sont tendues, quelques semaines après l'empoisonnement de ressortissants russes au Royaume-Uni et quelques heures après les frappes menées par les Etats-Unis, les Britanniques et la France contre l'arsenal chimique en Syrie.

Une campagne de cyberespionnage menée depuis 2015

Les cyberattaques décrites dans le rapport diffusé par le NCSC, le FBI et le DHS exploitent notamment le protocole Smart Install de l'équipementier réseau Cisco. Ce dernier confirme dans un bulletin avoir été informé d’un détournement d’utilisation de son protocole SMI pour forcer un redémarrage de ses équipements, charger une nouvelle image d’IOS et exécuter des commandes CLI à privilège. Dans le rapport du 16 avril, des détails sont communiqués sur les tactiques, techniques et procédures utilisées par les hackers soutenus par la Russie pour compromettre les systèmes informatiques de leurs cibles. Ces dernières ont été identifiées à travers des actions coordonnées entre les Etats-Unis et leurs partenaires internationaux.

Ces agissements ne datent pas d’hier. Le rapport explique que, depuis 2015, les gouvernements des Etats-Unis et du Royaume-Uni ont reçu des informations de multiples sources, dont des organismes de recherche en cybersécurité privés et publics et des alliés, indiquant que des cyber-acteurs exploitaient de nombreux routeurs et commutateurs d’entreprises, mais aussi Soho et résidentiel au niveau mondial. Les équipements réseaux compromis permettent de conduire des attaques de type man-in-the-middle pour espionner, dérober des éléments de propriété intellectuelle et maintenir un accès continuel aux réseaux ainsi compromis, afin de mener d’autres opérations par la suite.

Les hackers peuvent modifier ou bloquer le trafic réseau

Les hackers en question n’ont pas besoin d’exploiter des failles zero-day, ni d’installer des malwares pour se servir des équipements réseaux, expliquent NCSC, FBI et DHS. Ils tirent parti de diverses vulnérabilités de ces matériels, par exemple à travers des protocoles non chiffrés de gestion des services, ou encore lorsque les mises à jour de sécurité ne sont plus fournies par leurs fabricants. Ils peuvent potentiellement modifier ou bloquer le trafic qui passe par les routeurs qu’ils ont compromis. Dans le cas d’infrastructures critiques associées à des systèmes industriels, « un acteur qui contrôle un routeur entre des capteurs ICS-SCADA (Industrial Control Systems – Supervisory Control and Data Acquisition) et les contrôleurs d’une infrastructure critique, par exemple dans le secteur de l’énergie, peut manipuler les messagers, créer des configurations dangereuses pouvant conduire à des pertes de service ou des destructions physiques », avertit le rapport. « Celui qui contrôle l’infrastructure de routage d’un réseau contrôle le flux de données à travers le réseau », soulignent ses rédacteurs.

Après avoir fourni des méthodes de détection d’attaques potentielles (à travers Telnet, SNMP/TFTP,  SMI/TFTP ou SMI), le rapport communique des stratégies de réduction des risques et des pratiques de sécurité pour les fabricants, les utilisateurs et les opérateurs. A travers son ambassade à Londres, la Fédération de Russie a estimé qu’il s’agissait d’une « politique téméraire, provocante et infondée contre la Russie », indique l’agence de presse Reuters.