Depuis le mois d’août 2025, les pirates du gang Fancy Bear, aussi connus sous les noms APT 28 ou Forest Blizzard, multiplient les offensives à l’encontre des routeurs dans le monde entier. Selon les chercheurs du Black Lotus Labs, le groupuscule s’attaque surtout aux routeurs MikroTik et TP-Link obsolètes, qui n’ont pas été mis à jour depuis longtemps. Pour arriver à leurs fins, les pirates exploitent les vulnérabilités dans le fonctionnement des vieux routeurs. Aux dires du FBI, les cyberattaques contre les routeurs « en fin de vie » se multiplient d’ailleurs dans le monde entier.
À lire aussi : Alerte chez Asus – un botnet a piraté 14 000 routeurs
Des milliers de routeurs piratés à travers le monde
Dans un communiqué adressé à 01net, Microsoft indique avoir découvert que plus de 200 organisations et plus de 5 000 appareils grand public sont tombés sous la coupe des cybercriminels russes. De son côté, Black Lotus parle de 18 000 victimes réparties dans 120 pays différents. Il s’agit donc d’une opération de grande ampleur. Interrogé par TechCrunch, le National Cyber Security Centre du Royaume-Uni parle d’une opération « probablement opportuniste dans un premier temps » qui s’est peu à peu recentrée sur une poignée de cibles bien précises, jugées intéressantes par les services de renseignement de Moscou. C’est pourquoi des particuliers peuvent se retrouver mêlés à une campagne d’espionnage visant des États étrangers. Des administrations gouvernementales, des forces de l’ordre et des fournisseurs de messagerie font partie des principales cibles. Microsoft épingle aussi l’informatique, les télécoms et l’énergie parmi les victimes recensées.
La compromission des routeurs permet aux pirates de se placer entre l’utilisateur et les services auxquels il se connecte. Une fois le routeur compromis, les pirates modifient un paramètre fondamental : le Domain Name System (DNS), l’annuaire invisible qui traduit le nom d’un site en adresse réseau. Une fois que c’est fait, les hackers russes peuvent pousser les victimes vers de faux sites, taillés pour s’emparer de leurs mots de passe et jetons d’authentification, ces codes temporaires utilisés par la double authentification.
« Cette approche permet à l’acteur d’obtenir de la visibilité sur des environnements plus vastes et mieux sécurisés, sans avoir à compromettre directement les réseaux d’entreprise », explique Microsoft dans un billet de blog, soulignant que c’est « c’est la première fois qu’on observe Forest Blizzard utiliser le détournement DNS à grande échelle ».
C’est la porte ouverte à tous les abus. La double authentification, souvent présentée comme le rempart ultime contre les cyberattaques, peut donc être contournée en trafiquant le DNS. Les fausses pages déployées par les pirates ressemblent fortement aux sites originaux. De facto, la victime ne se rend compte de rien. Les chercheurs de Black Lotus parlent d’ailleurs d’une « attaque quasi invisible », qui nécessite « aucune interaction de la part de l’utilisateur ».
À lire aussi : Comment savoir si un botnet a piraté votre smartphone, PC, TV, ou votre box Internet ?
Une opération démantelée par le FBI
Plusieurs mois après l’accélération des cyberattaques, les autorités américaines ont lancé une importante contre-attaque. Ce 7 avril, le FBI a neutralisé des routeurs compromis sur le sol américain en prenant le contrôle de l’infrastructure malveillante des pirates russes. Plusieurs domaines détenus par le gang ont été saisis dans le cadre d’une contre-attaque baptisée « Opération Masquerade ». Selon le département de la Justice des États-Unis, les enquêteurs ont mis au point une série d’instructions taillées pour récupérer les données utiles et rétablir une configuration saine. Ces instructions ont été envoyées sur les routeurs infectés, ce qui a permis de les sauver des griffes de Fancy Bear. Les instructions doivent aussi empêcher les pirates de reprendre le contrôle des routeurs ultérieurement. Le département de la Justice des États-Unis parle d’une « menace grave et persistante » et d’une « agression continue ».
Le FBI explique que plusieurs signes permettent de deviner qu’un routeur a été piraté par un botnet. Si votre routeur chauffe anormalement, si la connexion devient instable et si du trafic anormal est détecté, il a peut-être été compromis. En cas de doute, le FBI recommande de mettre à jour le firmware de votre routeur (si c’est possible), de changer votre mot de passe, puis de redémarrer l’appareil. Si aucune mise à jour n’est proposée, il est temps d’investir dans un nouveau routeur. Les chercheurs de Black Lotus conseillent d’ailleurs de supprimer « tout équipement en fin de vie des réseaux personnels et d’entreprises ». Même son de cloche du côté des autorités américaines, qui demandent « désormais à tous les propriétaires d’un routeur de le sécuriser, de mettre à jour son firmware, et de le remplacer si nécessaire ».
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
