Une récente attaque menée par des pirates informatiques russes a été signalée par des experts américains et britanniques en matière de cybersécurité. Le rapport indique qu’une armée de scripts et de robots a été déployée pour détecter les vulnérabilités des routeurs des petits commerces de détail.
Les routeurs sont installés dans presque n’importe quel établissement en tant que connexion à un fournisseur d’accès à Internet (FAI) ou au réseau WiFi public dans les magasins, les restaurants ou les cybercafés. Ces routeurs offrent une sécurité de base, mais les particuliers et les petites entreprises prennent rarement des précautions pour mettre à niveau leur firmware, en particulier les correctifs de vulnérabilité.
Le département de la Sécurité intérieure des États-Unis (DHS), le Federal Bureau of Investigation (FBI) et le National Cyber Security Centre (NCSC) du Royaume-Uni ont signalé des incidents au cours desquels ils ont constaté une augmentation des attaques liées à la Russie contre des routeurs plus anciens, notamment les pare-feu et les commutateurs des principaux FAI situés principalement aux États-Unis.
Attaques contre les vulnérabilités des anciens firmwares et des mots de passe de routeur inchangés
Ces types d’attaques automatisées ciblent deux vulnérabilités : les firmwares de routeur qui n’ont pas été mis à jour et les routeurs qui utilisent encore les mots de passe par défaut qui sont fournis par les fabricants. Ces deux menaces sont courantes dans les petites entreprises et les résidences individuelles où la cybersécurité est faible. Les utilisateurs laissent souvent le mot de passe par défaut sur la console du routeur sans le savoir. Ce qui permet à toute personne pouvant consulter la liste de mots de passe du fabricant d’accéder à vos réseaux informatiques.
Les systèmes d’exploitation et les logiciels peuvent facilement être mis à jour, mais les routeurs sont souvent oubliés, même dans l’entreprise. Les fabricants de routeurs publient des correctifs sur leur site, mais il est rare que les utilisateurs les téléchargent et les installent. Soit ils ne savent pas que la mise à jour existe, soit ils ne savent pas comment mettre à jour le firmware de leur routeur, car il faut plus de connaissances en réseau informatique pour le faire.
Le 19 avril 2018, l’Équipe d’intervention d’urgence informatique des États-Unis (US-CERT) a émis une alerte (TA18-106A) concernant les cyberacteurs russes parrainés par l’État russe et qui analysent des millions de routeurs à la recherche de failles aux États-Unis et au Royaume-Uni. Un partenaire industriel a découvert l’activité malveillante et l’a signalée au National Cybersecurity & Communications Integration Center (NCCIC) et au FBI. Des scans ont donné aux attaquants la marque et le modèle des routeurs découverts. Ainsi, ils ont pu réaliser un inventaire des dispositifs vulnérables qui pourront ensuite être utilisés à des fins malveillantes.
Parmi ces dispositifs ciblés, on compte :
- Les dispositifs d’encapsulation de routage générique (GRE) activés.
- Les dispositifs bénéficiant de la fonctionnalité Cisco Smart Install (CMI)
- Les périphériques réseau avec des SNMP (Simple Network Management Protocol) activés
Certains dispositifs et périphériques intègrent des pare-feu et des commutateurs des FAI des infrastructures critiques et des grandes entreprises.
Mais la majorité d’entre eux comprennent les routeurs grand public, y compris les dispositifs d’Internet des Objets (IdO – IoT) basés sur le consommateur.
Selon le coordonnateur de la cybersécurité du Conseil national de sécurité, Rob Joyce, il y a une forte probabilité que la Russie ait mené une campagne bien coordonnée pour avoir accès à une entreprise ; à des petits routeurs de bureau ; à des bureaux à domicile (connus sous le nom de SOHO) et à des routeurs résidentiels à travers le monde.
Les routeurs piratés utilisés pour les attaques « Man-in-the-Middle »
Une fois que le routeur est piraté, les cybercriminels peuvent l’utiliser pour mener des attaques Man-in-the-Middle (MitM) qui soutiennent l’espionnage d’entreprise. Ils peuvent accéder aux informations d’identité ou intercepter des données telles que la propriété intellectuelle, car des utilisateurs non avertis peuvent continuer à utiliser les appareils compromis.
Les attaques MitM peuvent être difficiles à détecter pour l’utilisateur final parce qu’il n’y a pas de virus ou de malwares qui interrompent l’activité. Par ailleurs, le trafic peut fonctionner naturellement lorsque l’attaquant se fait voler les données à son insu.
Les experts rapportent que des millions d’appareils ont déjà été piratés et cela pourrait conduire à de futures attaques qui exploiteraient des appareils compromis. Les FAI et toutes les entreprises utilisant encore des routeurs achetés au détail devraient mettre à jour leurs firmwares et s’assurer que les mots de passe par défaut sont changés.
Les attaques parrainées par l’État russe se sont multipliées au fil des ans. Les vulnérabilités constatées par ces attaquants ont été utilisées pour influer sur les élections, réduire les réseaux électriques et arrêter la productivité des entreprises dans le monde entier. Les années précédentes, ils visaient principalement l’Ukraine. Pourtant, l’attaque susmentionnée se concentrait essentiellement sur les entreprises et les FAI basés aux États-Unis.
Ce n’est pas la première fois que des agents russes ciblent les SOHO et les appareils résidentiels. Au cours des deux dernières années, le Département de la sécurité intérieure a été témoin de l’activité russe en matière d’analyse des vulnérabilités des routeurs. Comme de nombreux pirates informatiques, ces auteurs parrainés par la Russie tirent parti des dispositifs obsolètes et des configurations de sécurité faibles.
Souvent, les routeurs et autres dispositifs similaires ne sont pas entretenus ou gérés avec la même vigilance et le même souci de sécurité que les serveurs et les ordinateurs. Un nombre important de ces routeurs et périphériques continuent d’utiliser leurs mots de passe administrateur par défaut, tandis que d’autres ne sont plus supportés par les correctifs de sécurité ou de firmware.
L’alerte TA18-106A conseille à tous les propriétaires de routeurs de modifier toutes les informations d’identification par défaut et d’utiliser des mots de passe différents sur plusieurs périphériques. Des mots de passe simples tels que « 12345678 » ne doivent plus être utilisés, car les attaquants peuvent utiliser la force brute pour spammer différentes combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce que l’appareil soit accessible. Le DHS recommande également de « retraiter et remplacer les anciens dispositifs » qui ne peuvent pas être mis à jour.
Attaques DDoS contre des sites gouvernementaux
L’alerte technique s’adresse également aux fabricants, les encourageant à commencer à concevoir des types d’appareils qui mettent en avant la sécurité dès le départ. Cela signifierait que les protocoles obsolètes et non chiffrés ne seraient plus supportés.
D’autres mesures pourraient inclure des changements forcés de mot de passe lorsque les dispositifs comme les routeurs sont démarrés pour la première fois, y compris les nombreux ordinateurs au niveau de l’entreprise.
Quant à la multitude d’appareils IoT dans utilisés dans les foyers aujourd’hui, ils sont souvent dépourvus de tout système de sécurité pour les rendre économiques et abordables.
C’est la première fois que des représentants du gouvernement s’adressent au public et aux fabricants pour leur donner des conseils sur la façon d’améliorer la sécurité des dispositifs pouvant être remis en cause.
Les représentants du gouvernement estiment que cet effort de balayage à grande échelle fait partie du grand plan de Poutine visant à perturber l’Occident. La question est de savoir à quelle fin. Les routeurs exploités par les FAI peuvent être utilisés à des fins d’espionnage pour voler la propriété intellectuelle ou pour saisir les informations des clients des FAI. Les pirates peuvent les utiliser au moment le plus opportun.
Des routeurs domestiques et des dispositifs IoT compromis peuvent aussi être utilisés pour coordonner des DDoS ou attaques par déni de service massives contre les sites gouvernementaux et l’infrastructure Internet. Ce qui les rend intéressantes, c’est que les Russes peuvent plaider la négation de telles attaques en cas de besoin.
« Une fois que vous possédez le routeur, vous possédez le trafic », déclare un haut responsable de la cybersécurité du DHS.
En réalité, les cyberattaques parrainées par l’État russe constituent une préoccupation de sécurité nationale pour les États-Unis et le Royaume-Uni. Ils peuvent utiliser les vulnérabilités pour affecter les élections, les réseaux électriques et le commerce. Les États-Unis ont déjà combattu contre les attaques de la Russie, celles menées en Iran et en Corée du Nord.
En publiant cette récente alerte, les deux pays envoient un message clair à Poutine et à son gouvernement, en affirmant que « ces actes malveillants sont inacceptables et ne seront pas tolérés. Un responsable britannique a déclaré : « L’attribution de cette activité malveillante envoie un message clair à la Russie : nous savons ce que vous faites et vous n’y parviendrez pas. ».
Bien entendu, les Russes ont répondu à ces accusations. Dans un commentaire envoyé par e-mail à l’ambassade de Russie à Londres, un porte-parole russe a déclaré que les accusations et les spéculations étaient imprudentes, provocatrices et sans fondement. La déclaration demandait également aux deux pays occidentaux d’apporter des preuves à l’appui de ces affirmations farfelues.
Pendant de nombreuses années, on a dit que les pays qui pouvaient contrôler les océans par leurs forces marines ou dominer le ciel par leur présence aérienne pouvaient contrôler la guerre. À l’avenir, ceux qui contrôlent l’infrastructure mondiale de l’Internet auront également un avantage significatif.
Les périphériques piratés peuvent être utilisés lors de futures attaques
L’espionnage d’entreprise n’est pas la seule conséquence des attaques cybercriminelles.
Les pirates peuvent aussi laisser un code de porte dérobée (backdoor) qui reste inactif en attendant qu’ils décident plus tard d’attaquer les entreprises. Les DDoS ont été à l’origine de certaines des plus grandes cyberattaques sur Internet et qui ont détruit les grandes entreprises, notamment les protocoles Internet critiques tels que DNS.
Étude de cas
En tant que fournisseur de services de filtrage Web, Family-Guard croît à un rythme effarant, ajoutant quotidiennement des clients à son service. WebTitan pour Wi-Fi permet à Family-Guard d’offrir facilement à ses clients des contrôles de contenus Web. Déployée en tant que service cloud, cette solution est basée sur le DNS et ne requiert qu’une simple redirection DNS vers les serveurs WebTitan. Découvrez ici l’étude de cas complet de ce fournisseur de services de filtrage Web.
Forte couche de protection pour les routeurs et la configuration Wi-Fi
De nos jours, Internet est devenu indispensable pour la majorité des gens. Malheureusement, les sites Web malveillants, les spywares et les virus présentent de réelles menaces ses utilisateurs et celles-ci ne doivent tout simplement pas être ignorées.
Si vous offrez le Wi-Fi public ou possédez un routeur Wi-Fi pour la connectivité Internet publique, vous pourrez réduire le risque d’attaques en ligne et vous pourrez contrôler la navigation Web en utilisant WebTitan Cloud for Wi-Fi.
WebTitan Cloud for Wi-Fi ajoute une forte couche de protection au routeur et à la configuration Wi-Fi de vos clients. Il est impératif que le Wi-Fi public ait toujours des règles strictes de cybersécurité, et tout firmware de routeur doit être régulièrement mis à jour. WebTItan vous aide dans ce cas à fournir une excellente sécurité informatique. Enfin, grâce à cette solution, les MSP qui vendent des routeurs utilisant le Wi-Fi WebTitan peuvent garantir un accès Wi-Fi sécurisé et filtré à leurs clients.