Des hackers russes ont dérobé des identifiants de connexion gouvernementaux en détournant des routeurs Wi-Fi et en redirigeant silencieusement le trafic internet des victimes via des serveurs sous contrôle de Moscou, selon des sources confiantes attribuant cette campagne aux services de renseignement militaires russes.
Le vol des identifiants britanniques, révélé récemment, s’inscrit dans une opération prolongée menée par le groupe de hackers connu sous les noms APT28 ou Fancy Bear, identifié par le Centre national de cybersécurité (NCSC) du Royaume-Uni comme étant très probablement l’unité 26165 du GRU russe. Ce groupe a compromis des milliers de routeurs domestiques et de petits bureaux, souvent mal sécurisés, notamment des équipements MikroTik et TP-Link, modifiant leurs paramètres afin que le trafic web des victimes soit redirigé via des infrastructures contrôlées par le Kremlin, une technique connue sous le nom de détournement DNS.
Une fois le trafic intercepté, les pirates redirigent les utilisateurs vers des pages de connexion contrefaites mais crédibles, permettant de recueillir mots de passe et jetons d’authentification. Ces derniers, qui maintiennent les utilisateurs connectés, permettent aux attaquants d’accéder aux comptes sans avoir besoin des codes d’authentification à deux facteurs. Le service de sécurité ukrainien, participant à l’enquête internationale, a précisé que les hackers jouaient le rôle d’intermédiaires dans l’espace en ligne, collectant des identifiants et courriers normalement protégés par cryptage.
Les recherches menées par Black Lotus Labs, division de Lumen, ont identifié au moins 18 000 victimes dans environ 120 pays, touchant des ministères, des agences de sécurité et des fournisseurs de services de messagerie. Le NCSC, qui a publié cette attribution en avril, a qualifié ces opérations de « probablement opportunistes », où le groupe lance un filet large avant de cibler plus spécifiquement des entités d’intérêt stratégique au fur et à mesure du développement des attaques.
Le FBI, via son opération Masquerade, a envoyé des commandes aux routeurs compromis sur le sol américain afin d’expulser les intrusions russes et réinitialiser les paramètres. Selon l’agence américaine, le GRU a compromis un large éventail de victimes avant de « cibler particulièrement les informations liées à l’armée, au gouvernement et aux infrastructures critiques ». Des services de renseignement et agences policières des États-Unis, Royaume-Uni, Ukraine, Pologne, Allemagne, Italie, Canada, Roumanie et d’autres alliés ont participé à cette enquête qui a permis de démanteler ce réseau.
Selon les investigations, des identifiants du gouvernement britannique figurent parmi les données dérobées. L’opération a été décrite comme un détournement des systèmes Wi-Fi visant à transférer des informations secrètes vers le Kremlin. Le gouvernement britannique n’a pas communiqué sur les ministères affectés ni sur la nature des accès obtenus grâce aux identifiants volés.
Graeme Downie, député travailliste de Dunfermline et Dollar, a déclaré au UK Defence Journal que le schéma d’activité russe contre le Royaume-Uni s’étend désormais à tous les domaines : « Nous avons désormais des attaques russes sur le territoire britannique via des empoisonnements de citoyens, des tentatives d’incendie de la voiture du Premier ministre, des incursions par drones dans l’espace aérien, des menaces aux câbles sous-marins et à présent une nouvelle cyberattaque après leur implication dans l’attaque contre Jaguar Land Rover. »
« Le gouvernement doit accroître rapidement la préparation du Royaume-Uni et informer le public des impacts et coûts quotidiens de ces attaques. Cela poussera la population à réclamer des mesures pour les protéger dans ce conflit permanent avec la Russie. »
Cette campagne s’ajoute à une longue série d’opérations cybernétiques russes contre le Royaume-Uni. En avril, le NCSC et ses alliés ont attribué la campagne d’ingérence politique Star Blizzard au Centre 18 du FSB, ciblant des parlementaires de plusieurs partis. Une enquête du New York Times le mois dernier a de son côté relié l’attaque contre Jaguar Land Rover, considérée comme la cyberattaque la plus coûteuse économiquement du Royaume-Uni (estimée à 2,5 milliards de dollars), à un groupe russe, incitant le ministre de la Défense Dan Jarvis à avertir que les États hostiles ont compris que la méthode la plus efficace pour attaquer consiste à affaiblir silencieusement l’économie plutôt que d’engager un conflit militaire direct.
Richard Horne, directeur du NCSC, a indiqué en avril que les attaques les plus graves contre le Royaume-Uni proviennent désormais d’États hostiles, dont la Russie, l’Iran et la Chine, exhortant les organisations britanniques à se préparer à des attaques de grande ampleur. Dans le cadre des recommandations publiées par le NCSC, il est conseillé aux utilisateurs et entreprises de mettre à jour leurs firmwares, changer les mots de passe par défaut, désactiver les interfaces de gestion à distance et de rester vigilants face aux avertissements de certificats inattendus.