APT28 pirate des routeurs domestiques pour espionner des entreprises

En modifiant les paramètres DNS de terminaux vulnérables, le cybergang Forest Blizzard (APT 28) affilié à la Russie a redirigé le trafic réseau d'au moins 200 entreprises à des fins d'espionnage. Et dans certains cas aller jusqu'à récupérer des identifiants et des données de session Outlook.

Le groupe criminel russe Forest Blizzard, aka APT28, exploite des équipements Internet non sécurisés utilisés chez des particuliers et dans des petites entreprises, tels que des routeurs, pour rediriger du trafic réseau vers des serveurs DNS contrôlés par des cyberpirates. Selon un rapport de Microsoft Threat Intelligence, ce groupe a tiré parti de ce détournement DNS pour mener des attaques de type « adversary-in-the-middle » (AiTM) sur des connexions TLS (Transport Layer Security) après avoir compromis les systèmes, en ciblant les domaines web de Microsoft Outlook. En compromettant les périphériques en amont, les attaquants sont en mesure d'exploiter des réseaux moins surveillés et de les utiliser comme voie d'accès aux environnements d'entreprise.

Plus de 200 entreprises et plus de 5 000 terminaux grand public ont déjà été touchés par l'infrastructure DNS malveillante de Forest Blizzard, qui, selon Microsoft, sert principalement à collecter des renseignements au service des objectifs de politique étrangère du gouvernement russe. Cette activité permet l'interception de contenus hébergés dans le cloud. Des cibles gouvernementales, IT et télécoms et de l'énergie ont été visées. Bien que le nombre d'organisations spécifiquement ciblées par TLS AiTM ne représente qu'une partie des réseaux comportant des systèmes soho (small office home office) vulnérables, l'accès étendu dont dispose le cybergang pourrait permettre des attaques AiTM à plus grande échelle, susceptible d'inclure de l'interception active du trafic, a déclaré le fournisseur.

Des routeurs piratés, des sessions détournées

Forest Blizzard, également connu en tant qu'APT28 par le Centre national de cybersécurité britannique, a piraté des routeurs domestiques et de petites entreprises et a modifié leurs paramètres réseau afin que le trafic Internet soit acheminé via ses propres serveurs DNS. Pour ce faire, le cybergang a très certainement utilisé l'utilitaire dnsmasq pour effectuer la résolution DNS et fournir des réponses tout en écoutant le port 53 pour les requêtes DNS, selon l'équipe sécurité de Microsoft. La plupart du temps, les attaquants surveillaient discrètement le trafic sans perturber les connexions. Mais pour certaines cibles spécifiques, ils ont usurpé des réponses DNS et redirigé activement les utilisateurs vers la fausse infrastructure qu’ils contrôlaient. Parmi celles-ci figurait un sous-ensemble de domaines associés à Microsoft Outlook sur le web. Une activité AiTM distincte ciblant des serveurs non hébergés par Microsoft dans au moins trois organisations gouvernementales en Afrique a également été identifiée. « L'infrastructure malveillante contrôlée par l'acteur malveillant présenterait alors un certificat TLS non valide à la victime, en se faisant passer pour le service Microsoft légitime. Si l'utilisateur compromis ignorait les avertissements concernant le certificat TLS non valide, l'acteur malveillant pourrait alors intercepter activement le trafic en clair sous-jacent - pouvant inclure des e-mails et d'autres contenus appartenant au client - au sein de la connexion TLS », explique Microsoft.

Cette attaque représente un risque sérieux pour les entreprises car, au lieu de prendre naissance au niveau du périmètre de l'entreprise, elle trouve son origine dans les environnements des employés, souvent moins sécurisés. Les cybercriminels ciblent les routeurs vulnérables des particuliers ou des petites entreprises, qui sont souvent équipés de mots de passe par défaut peu sûrs ou de logiciels non mis à jour. Rappelons que le passage au télétravail a considérablement élargi la surface d'attaque des entreprises, permettant aux pirates de se frayer un chemin vers les comptes d'entreprise sans avoir à pénétrer directement dans les systèmes de l'entreprise. « L'impact concret est considérable. Les pirates peuvent intercepter des identifiants, rediriger le trafic vers des sites malveillants ou injecter des logiciels malveillants, le tout sans jamais franchir le pare-feu de l'entreprise. Cela peut entraîner des fuites de données, des vols d'argent, voire des incidents liés à des ransomwares », a déclaré Apeksha Kaushik, analyste principale senior chez Gartner. « De plus, le manque de visibilité et de contrôle sur les réseaux domestiques signifie que ces attaques peuvent persister sans être détectées, sapant ainsi même les programmes de sécurité d'entreprise les plus robustes. En substance, chaque réseau domestique non sécurisé devient une porte dérobée potentielle vers l'entreprise, amplifiant les risques et compliquant la réponse aux incidents. »

Une sécurité multi-couches à implémenter

Pour les RSSI, cela élargit le champ d'action au-delà de la simple sécurisation des réseaux d'entreprise, pour inclure la gestion des risques liés à l'environnement domestique des employés et aux appareils non gérés. « Tout d'abord, cessez d'utiliser des mots de passe. Des systèmes de vérification en deux étapes robustes qui ne permettent pas les attaques par hameçonnage, en particulier les clés matérielles, pourraient empêcher la plupart de ces attaques même si les identifiants ont été obtenus », a déclaré Devroop Dhar, CEO et cofondateur de Primus Partners. M. Dhar a ajouté que les RSSI devraient envisager de contrôler le comportement des identités. Par exemple, si un emplacement ou un appareil inhabituel est impliqué dans la procédure de connexion, des avertissements ou des vérifications supplémentaires doivent être générés.

« Mettez en place des solutions DNS sécurisées en utilisant des VPN d'entreprise avec le split tunneling désactivé ou en imposant le protocole DNS-over-HTTPS afin de garantir que toutes les requêtes DNS contournent le routeur domestique local et soient acheminées directement vers les serveurs d'entreprise de confiance », a suggéré Amit Jaju, partenaire international chez Ankura Consulting. « De plus, mettez en place des politiques d'accès conditionnel strictes qui exigent que les systèmes soient enregistrés dans le système de gestion des terminaux mobiles et marqués comme conformes avant de leur accorder l'accès aux ressources cloud de l'entreprise. » Les experts soulignent également que même après avoir pris toutes les précautions et mesures de défense, la formation des employés doit rester la priorité absolue, car ils doivent être formés pour reconnaître les comportements suspects lors des procédures de connexion.