Vidéos associées :
Le Département de la Justice des États-Unis et le FBI ont mené hier une opération technique autorisée par la justice pour démanteler un réseau de routeurs domestiques compromis par le renseignement militaire russe dans plus de 23 États du pays, lors de ce que les autorités ont baptisé l'Opération Masquerade.
L'action a neutralisé l'infrastructure d'espionnage de la Unidad Militar 26165 du Directeur de l'Intelligence Principale de l'État-Major russe (GRU), également connue sous les noms d'APT28, Fancy Bear ou Forest Blizzard, dont la campagne était active depuis au moins 2024 sur le territoire américain.
Depuis cette année-là, les agents du GRU ont exploité des vulnérabilités connues dans des milliers de routeurs de la marque TP-Link installés dans des foyers et de petites bureaux pour manipuler leur configuration DNS — le système qui traduit les noms de domaine en adresses numériques — et rediriger les requêtes des utilisateurs vers des serveurs sous contrôle russe.
L'attaque se déroulait en deux phases : d'abord, ils compromettaient de manière massive et indiscriminée le plus grand nombre possible de dispositifs ; ensuite, ils appliquaient des filtres automatiques pour identifier les connexions d'intérêt et activer l'interception active sur des objectifs sélectionnés. Pour ces objectifs, les serveurs du GRU usurpaient des services légitimes tels que Microsoft Outlook Web Access pour capturer des mots de passe, des jetons d'authentification et des courriels sans que les victimes ne s'en aperçoivent.
Microsoft, qui a collaboré avec le FBI, a identifié plus de 200 organisations et 5 000 appareils affectés. Black Lotus Labs de Lumen Technologies a détecté des victimes aux États-Unis, en Europe, en Afghanistan, en Afrique du Nord, en Amérique centrale et dans le sud-est asiatique, en ciblant des agences gouvernementales, des ministères des affaires étrangères et des organismes de sécurité.
La opération a été dirigée par le Bureau du FBI à Boston, avec le soutien du bureau de Philadelphie, de la Division Cybernétique et du Bureau du Procureur du District Est de Pennsylvanie, où les documents judiciaires ont été déclassifiés. L'action a également compté sur des partenaires dans 15 pays; le Centre National de Cybersécurité du Royaume-Uni et d'Allemagne ont émis des alertes coordonnées le même jour.
Le FBI a développé une série de commandes envoyées directement aux routeurs compromis pour collecter des preuves, restaurer la configuration DNS légitime et bloquer l'accès non autorisé du GRU, sans affecter le fonctionnement normal des équipements ni collecter de contenu des utilisateurs. Les propriétaires peuvent revenir sur les changements à tout moment en effectuant une réinitialisation d'usine.
Archivé dans :