APT28 : perspectives du groupe IB sur les attaques via routeurs Analyse des perspectives d APT28 via le détournement DNS des routeurs et ses implications pour la cybersécurité. APT28, groupe de piratage étatique souvent surnommé Cozy Bear, continue d affiner ses méthodes d intrusion et de persistance.
APT28, groupe de piratage étatique souvent surnommé Cozy Bear, continue d affiner ses méthodes d intrusion et de persistance. Suite à l avertissement du NCSC sur l exploitation des routeurs pour détourner le DNS, Group-IB apporte une lecture qui va au-delà d une simple alerte technique. Selon Anastasia Tikhonova, responsable mondiale de la recherche sur les menaces chez Group-IB, les attaques contre les routeurs ne constituent pas une toute nouvelle tactique pour APT28, mais elles démontrent une intensification de l exploitation d une surface souvent sous-estimée.
Le raisonnement tient en deux axes simples. D une part, les routeurs et les équipements réseau demeurent des portes d entrée fiables pour injecter, persister et atteindre des cibles ciblées, sans avoir à franchir les frontières du système d information interne. D autre part, le détournement du DNS via des routeurs compromis permet de rediriger le trafic des utilisateurs vers des services qui imitent des sites légitimes ou qui collectent des informations sensibles, tout en restant discrets sur le long terme.
« Les attaques contre les routeurs ne constituent pas une nouvelle tactique pour APT28, mais une extension logique de leurs méthodes historiques », souligne Anastasia Tikhonova.
Les routeurs, une arête d attaque d APT28
Concrètement, l approche consiste à compromettre des routeurs domestiques ou professionnels afin de modifier les enregistrements DNS ou les chemins de résolution. L objectif est double : masquer des destinations malveillantes et maintenir l invisibilité du flux de données pendant une période prolongée. Cette méthode n est pas nouvelle pour APT28, mais elle illustre une capacité à opérer au carrefour entre le réseau et l utilisateur final.
Plusieurs techniques associées peuvent être observées : exploitation de vulnérabilités connues dans des firmwares, utilisation d accès administratifs obtenus via des identifiants compromis, et manipulation subtile de configurations. Le risque n est pas uniquement technique ; il concerne aussi la confiance des utilisateurs et des opérateurs réseau qui peuvent rester aveugles face à des redirections parfaitement légitimes sur le plan réseau mais malveillantes côté contenu.
Ce que cela change pour les organisations et les opérateurs réseau
Pour les organisations, ces attaques réaffirment l impératif de surveiller les points d accès réseau et les routes DNS comme des actifs critiques. Concrètement, cela se traduit par une vigilance accrue autour des routeurs et des équipements réseau, ainsi que des mesures de détection et de réponse adaptées.
- Patch et configuration : maintenir les firmwares à jour et désactiver les services inutiles, surtout ceux exposés sur Internet.
- Surveillance DNS : analyser les journaux de résolution DNS et repérer des redirections inattendues ou des écarts par rapport aux enregistrements connus.
- Segmentations et contrôles d accès : limiter les privilèges administratifs et séparer les couches réseau pour compliquer la persistance.
Les opérateurs réseau doivent aussi renforcer les mécanismes de détection des anomalies et s appuyer sur des menaces publiques et privées pour affiner les signaux d alerte. La collaboration entre les équipes sécurité et réseau est plus que jamais essentielle lorsque l infrastructure est riche en équipements variés et souvent hétérogènes.
Contexte, limites et ce qu on ne sait pas encore
Si la corrélation entre les avertissements et les campagnes d APT28 est plausible, plusieurs zones restent floues. Il est difficile d estimer la proportion exacte des campagnes qui reposent sur des routeurs compromis par rapport à d autres vecteurs historiques. De plus, l efficacité du détournement DNS dépend largement de la vigilance des utilisateurs finaux et des mécanismes de détection mis en place dans les environnements d entreprise.
Pour terminer
La montée en puissance des attaques ciblant les routeurs démontre que les frontières entre réseau et utilisateur ne cessent de s effacer. Pour APT28, ces techniques s ajoutent à un arsenal déjà ancien mais persistent, nourri par une connaissance approfondie des infrastructures critiques. Ce qui compte désormais, c est la capacité des organisations à anticiper ces scénarios et à déployer des contrôles proactifs qui réduisent l exposition au détournement du DNS et à la compromission des équipements réseau.
