Des hackers russes détournent les paramètres DNS des routeurs domestiques

Des hackers militaires russes ciblent les routeurs domestiques et professionnels

Une campagne sophistiquée de détournement DNS liée à l'armée russe a compromis plus de 5 000 appareils grand public et plus de 200 organisations, selon un nouveau rapport de chercheurs en cybersécurité. L'acteur malveillant à l'origine de ces attaques, connu sous le nom de Forest Blizzard (également suivi sous les noms APT28 ou Strontium), entretient des liens avec le renseignement militaire russe et est impliqué dans des intrusions de grande envergure depuis de nombreuses années.

La méthode d'attaque est simple mais très efficace. Plutôt que de cibler directement des ordinateurs ou des téléphones individuels, le groupe modifie les paramètres DNS des routeurs domestiques et de petits bureaux. Une fois qu'un routeur est compromis, chaque appareil qui y est connecté — ordinateurs portables, téléphones, téléviseurs intelligents, ordinateurs professionnels — devient une cible potentielle.

Comment fonctionne réellement le détournement DNS

Le DNS, ou système de noms de domaine, est parfois décrit comme l'annuaire téléphonique d'internet. Lorsque vous saisissez l'adresse d'un site web dans votre navigateur, votre appareil interroge un serveur DNS pour trouver l'adresse IP numérique dont il a besoin pour se connecter. Dans des circonstances normales, cette requête est envoyée à un serveur DNS de confiance, souvent celui fourni par votre fournisseur d'accès à internet.

Lorsque des attaquants modifient la configuration DNS d'un routeur, ils redirigent ces requêtes vers des serveurs qu'ils contrôlent. À partir de là, ils peuvent voir exactement quels sites vous tentez de visiter et, dans certains cas, intercepter le trafic réel. Les chercheurs ont constaté que cette méthode a permis à Forest Blizzard de capturer des données en texte clair, notamment des e-mails et des identifiants de connexion, provenant d'appareils connectés aux routeurs compromis.

Cela est particulièrement préoccupant, car de nombreux utilisateurs supposent que leurs communications sont protégées simplement parce qu'ils utilisent des sites web HTTPS ou des services de messagerie chiffrée. Mais lorsque le DNS est détourné au niveau du routeur, les attaquants obtiennent une visibilité sur les flux de trafic et peuvent, dans certaines conditions, contourner cette protection.

Qui est Forest Blizzard ?

Forest Blizzard, également connu sous les pseudonymes APT28 et Strontium, est largement attribué à l'agence de renseignement militaire russe GRU. Le groupe a été associé à des attaques contre des agences gouvernementales, des sous-traitants de la défense, des organisations politiques et des infrastructures critiques en Europe et en Amérique du Nord.

Cette campagne représente un changement de tactique en direction des infrastructures grand public. Les routeurs domestiques et de petits bureaux sont fréquemment négligés du point de vue de la sécurité. Ils reçoivent rarement des mises à jour de micrologiciel, fonctionnent souvent avec des identifiants par défaut et ne sont généralement pas surveillés par les équipes de sécurité informatique. Cela en fait des points d'entrée attrayants pour un groupe cherchant à intercepter des communications à grande échelle.

Compromettre des routeurs permet également aux attaquants de maintenir un accès persistant. Même si un logiciel malveillant est supprimé d'un appareil individuel, un routeur compromis continue de rediriger le trafic jusqu'à ce que le routeur lui-même soit nettoyé et reconfiguré.

Ce que cela signifie pour vous

Si vous utilisez un routeur domestique ou de petit bureau standard, cette campagne vous concerne directement, même si vous n'êtes pas un employé gouvernemental ou une cible probable d'espionnage. L'ampleur de l'attaque — plus de 5 000 appareils grand public — suggère que le ciblage est large plutôt que chirurgical.

Plusieurs mesures pratiques méritent d'être prises en réponse à cette actualité.

Vérifiez les paramètres DNS de votre routeur. Connectez-vous au panneau d'administration de votre routeur (généralement accessible à l'adresse 192.168.1.1 ou 192.168.0.1) et vérifiez que les serveurs DNS répertoriés sont des serveurs que vous reconnaissez et en qui vous avez confiance. Si vous voyez des adresses IP inconnues que vous n'avez pas configurées vous-même, c'est un signal d'alarme.

Mettez à jour le micrologiciel de votre routeur. Les fabricants de routeurs publient périodiquement des mises à jour de micrologiciel qui corrigent les failles de sécurité. De nombreux routeurs proposent une option permettant de rechercher des mises à jour directement dans le panneau d'administration. Si votre routeur a plusieurs années et que le fabricant ne le prend plus en charge, envisagez de le remplacer.

Changez le mot de passe administrateur par défaut de votre routeur. Les identifiants par défaut sont largement diffusés et figurent parmi les premières choses que les attaquants tentent. Un mot de passe fort et unique pour l'interface d'administration de votre routeur augmente considérablement la barrière d'entrée.

Utilisez un VPN avec protection contre les fuites DNS. Un VPN achemine votre trafic, y compris les requêtes DNS, via un tunnel chiffré vers des serveurs extérieurs à votre réseau local. Même si le DNS de votre routeur a été altéré, un VPN doté d'une protection adéquate contre les fuites DNS garantit que vos requêtes sont résolues par les serveurs du fournisseur VPN plutôt que par ceux d'un attaquant. Cela ne rend pas un routeur compromis sûr, mais cela limite considérablement ce qu'un attaquant peut observer ou intercepter.

Envisagez d'utiliser le DNS chiffré de manière indépendante. Les services prenant en charge le DNS sur HTTPS (DoH) ou le DNS sur TLS (DoT) chiffrent vos requêtes DNS même sans VPN, les rendant plus difficiles à intercepter ou à rediriger.

La campagne de Forest Blizzard rappelle que la sécurité du réseau commence au niveau du routeur. Les appareils qui connectent votre domicile ou votre bureau à internet méritent la même attention que les ordinateurs et les téléphones sur votre bureau. Les maintenir à jour, correctement configurés et surveillés n'est pas facultatif — c'est le fondement sur lequel tout le reste repose. Si vous n'avez pas vérifié les paramètres de votre routeur récemment, c'est le bon moment pour commencer.