Microsoft a révélé, en collaboration avec des partenaires internationaux, une campagne du groupe de hackers Forest Blizzard : selon ces informations, ce groupe lié à l’armée russe exploite des routeurs domestiques et SOHO non sécurisés comme infrastructure clandestine pour l’espionnage et des attaques ultérieures.
- Forest Blizzard compromet des routeurs vulnérables et modifie leur configuration — notamment les paramètres DNS — afin de rediriger le trafic, mener des activités de reconnaissance et se dissimuler derrière une infrastructure légitime mais détournée.
- Les appareils domestiques ou de petits bureaux mal sécurisés ou obsolètes deviennent ainsi un risque important. Ils peuvent servir, à l’insu des utilisateurs, de relais, de point d’observation ou de tremplin pour d’autres attaques — même lorsque les réseaux d’entreprise sont mieux protégés.
- À ce jour, plus de 200 organisations et environ 5 000 appareils grand public sont concernés ; point particulièrement critique, Microsoft a observé ici pour la première fois à plus grande échelle l’utilisation du détournement DNS pour soutenir des attaques de type Adversary-in-the-Middle sur des connexions TLS.
Aucun actif propre à Microsoft n’a été compromis. Néanmoins, ce cas illustre à quel point les appareils et connexions mal sécurisés sont devenus des cibles attractives pour des opérations cybernétiques étatiques. Pour en savoir plus, consultez l’article de blog ici: SOHO router compromise leads to DNS hijacking and adversary-in-the-middle attacks