Les pirates informatiques russes soutenus par l’État ont passé plus d’une décennie à exploiter une faiblesse tenace des réseaux d’infrastructures critiques. Les organisations laissent encore des routeurs mal configurés et obsolètes exposés à Internet.
Dans un avis conjoint sur la cybersécuritéla NSA, la CISA, le FBI et leurs partenaires internationaux préviennent que les pirates informatiques liés au Centre 16 du Service fédéral de sécurité russe continuent de cibler les équipements réseau vulnérables.. L’énergie, la santé et les réseaux gouvernementaux font partie des secteurs les plus à risque.
Un appareil oublié peut exposer les informations d’identification et révéler comment un réseau beaucoup plus vaste s’articule.
Comment les routeurs sont exposés
Les pirates analysent les réseaux Internet à la recherche de routeurs exécutant des versions mal sécurisées du Simple Network Management Protocol, mieux connu sous le nom de SNMP. Les appareils qui acceptent les chaînes d'authentification communes ou par défaut peuvent être invités à copier leurs fichiers de configuration et à les envoyer à des serveurs contrôlés par des attaquants.
Les équipements Cisco plus anciens présentent une autre voie à l'intérieur. Le groupe a exploité des vulnérabilités connues et abusé de Cisco Smart Install, une fonctionnalité qui peut rester activée longtemps après le déploiement. Rien de tout cela ne nécessite un hack hollywoodien éblouissant lorsque des protocoles obsolètes et les configurations faibles sont déjà exposées.
Ce que les attaquants gagnent avec un routeur
Les fichiers de configuration du routeur peuvent contenir des informations d'identification et montrer comment un réseau est organisé. Une fois copiées, ces informations aident les pirates informatiques à identifier d’autres systèmes et à choisir où concentrer leurs efforts.
La campagne se concentre sur la collecte d’accès plutôt que sur la perturbation immédiate. Cette approche plus discrète peut cacher un compromis tout en donnant au gouvernement russe des informations qu’il pourrait utiliser à mesure que ses priorités stratégiques changent. Le routeur n’est que la première cible, et le prix utile se trouve derrière.
Comment les organisations peuvent fermer la porte
Les agences recommandent de remplacer les routeurs obsolètes, en installant le firmware actuelet en désactivant Cisco Smart Install. Les défenseurs du réseau devraient également passer des protocoles obsolètes SNMPv1 et SNMPv2 au SNMPv3, qui ajoute une authentification et un cryptage plus forts.
Les organisations doivent utiliser des mots de passe forts et uniques et restreindre les protocoles de gestion aux appareils de confiance. Les demandes suspectes et les connexions inhabituelles à un compte local doivent également être surveillées.
Il s’agit de mesures de sécurité de base, mais les ignorer signifie que les pirates informatiques soutenus par l’État n’auront peut-être jamais besoin de leurs outils les plus intelligents. Les organisations devraient dès maintenant auditer leurs équipements réseau connectés à Internet, en commençant par tout routeur qui ne reçoit plus de mises à jour de sécurité.






