Un groupe de milliers de pirates informatiques du gouvernement russe ont détourné les routeurs des particuliers et des petites entreprises du monde entier dans le cadre d’une campagne en cours visant à rediriger le trafic Internet des victimes pour voler leurs mots de passe et leurs jetons d’accès, ont averti mardi des chercheurs en sécurité et les autorités gouvernementales.
Il s’agit de la dernière tactique du groupe de piratage russe de longue date connu sous le nom de Fancy Bear, ou APT 28, connu pour ses piratages et opérations d’espionnage très médiatisés, notamment la violation du Comité national démocrate en 2016 et le piratage destructeur qui a frappé le fournisseur de satellites Viasat en 2022. Fancy Bear est largement considéré comme faisant partie de l’agence de renseignement russe GRU.
Le groupe de piratage a ciblé des routeurs non corrigés fabriqués par MicroTik et TP-Link en utilisant des vulnérabilités précédemment révélées, selon l’unité de cybersécurité du gouvernement britannique NCSC et la branche de recherche de Lumen, Black Lotus Labs, qui ont publié mardi de nouveaux détails sur la campagne.
Selon les chercheurs, les pirates ont pu espionner un grand nombre de personnes pendant plusieurs années en compromettant leurs routeurs, dont beaucoup exécutent des logiciels obsolètes, les rendant vulnérables aux attaques à distance à l’insu de leurs propriétaires.
Le NCSC a déclaré que ces opérations sont « probablement de nature opportuniste, l’acteur ratissant un large filet pour atteindre de nombreuses victimes potentielles, avant de se concentrer sur les cibles présentant un intérêt pour les services de renseignement à mesure que l’attaque se développe ».
Selon les chercheurs et les avis du gouvernement, les pirates russes ont piraté les routeurs pour modifier les paramètres de l’appareil afin que les requêtes Internet de la victime soient subrepticement transmises à l’infrastructure gérée par les pirates. Cela permet aux pirates de rediriger les victimes vers des sites Web frauduleux sous leur contrôle, puis de voler des mots de passe et des jetons qui permettent aux pirates de se connecter aux comptes en ligne de ces victimes sans avoir besoin de leurs codes d’authentification à deux facteurs.
Black Lotus Labs a déclaré que Fancy Bear avait compromis au moins 18 000 victimes dans environ 120 pays, notamment des ministères gouvernementaux, des organismes chargés de l’application de la loi et des fournisseurs de messagerie en Afrique du Nord, en Amérique centrale et en Asie du Sud-Est.
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
Microsoft, qui a également publié les détails de la campagne mardi, a déclaré dans un article de blog que ses chercheurs ont identifié plus de 200 organisations et 5 000 appareils grand public affectés par ces opérations de piratage, dont au moins trois organisations gouvernementales en Afrique.
Le FBI devrait annoncer le retrait de plusieurs domaines utilisés dans cette campagne par les pirates. Lumen a déclaré qu’il faisait partie d’une coalition, comprenant le FBI, qui a perturbé le botnet et l’a mis hors ligne.
Un porte-parole du FBI n’a pas répondu aux demandes de commentaires avant la publication.
