Le groupe de hackers Forest Blizzard pirate des routeurs SOHO vulnérables pour l'interception des flux Microsoft 365. Cette opération d'espionnage utilise une manipulation du DNS pour le vol de jetons d'authentification sans pénétration directe des serveurs de l'entreprise américaine.
Microsoft a détecté une activité suspecte en provenance du groupe APT28, une unité liée au renseignement militaire russe. Ces pirates visent des infrastructures réseau domestiques et de petites entreprises. Ils modifient les réglages DHCP des routeurs, notamment SOHO, pour une redirection du trafic vers des serveurs malveillants alors que l'utilisateur croit naviguer sur des services officiels.
Ces machines servent de relais pour la capture des accès à Outlook et aux services de bureautique en ligne. La National Cyber Security Centre (NCSC) confirme que cette méthode permet le contournement des protections classiques car la menace se situe entre l'appareil de la victime et le cloud.
Les attaquants exploitent des vulnérabilités connues sur des équipements de marques comme Ubiquiti ou MikroTik pour obtenir un accès initial. Une fois le contrôle établi, ils déploient des scripts personnalisés pour rediriger les requêtes DNS légitimes vers leurs propres serveurs VPS. Cette chaîne d'attaque complexe évite les systèmes de détection d'intrusion traditionnels basés sur les serveurs : tout le trafic semble provenir d'une adresse IP résidentielle fiable.
Le piège du certificat TLS ignoré
L'attaquant doit présenter un certificat de sécurité pour le chiffrement de la connexion. Si l'utilisateur voit une alerte de navigateur au sujet d'une connexion non privée, il valide parfois l'exception par habitude. Selon Paul Chichester, directeur des opérations au NCSC, les pirates maintiennent le tunnel ouvert tant que le certificat falsifié ne subit pas de blocage par le système. L'affichage systématique d'un avertissement visuel par le navigateur web précède le détournement effectif.
Pour les administrateurs réseau, l'intrusion devient invisible dès lors que les hackers récupèrent le premier jeton d'accès et ils imitent alors parfaitement une session utilisateur normale. Notre confrère TechSpot précise que le succès de l'interception du contenu dépend de cette erreur humaine face à l'alerte de sécurité du navigateur.
L'attaque de type « Adversary-in-the-Middle » permet la capture du mot de passe et du jeton de session MFA de façon simultanée. Les pirates retransmettent les informations d'identification en temps réel vers le véritable portail de connexion Microsoft 365 pour tromper les systèmes de surveillance.
L'utilisateur accède à sa boîte mail sans se douter que ses identifiants transitent par un serveur de rebond contrôlé par APT28. Ce procédé rend la protection par SMS ou application mobile inefficace puisque le pirate utilise le code de validation immédiatement. Forest Blizzard automatise le relais des données entre la victime et le service cloud légitime pour garantir la discrétion de l'opération.
L'impasse des matériels sans support
Des milliers de routeurs en fin de vie ne reçoivent plus de mises à jour fabricants. De nombreuses PME exploitent ces boîtiers avec des failles logicielles connues mais irréparables. Paul Chichester préconise le remplacement de ces équipements obsolètes pour stopper les intrusions russes. Les administrateurs doivent désactiver l'interface d'administration à distance pour empêcher les hackers de modifier les serveurs DNS. Le changement de mot de passe n'apporte aucune sécurité si le micrologiciel du routeur comporte une porte dérobée avec accès depuis le web.
Les autorités ont commencé le démantèlement d'une partie de l'infrastructure de Forest Blizzard, selon BleepingComputer. Cependant, les routeurs mal configurés ou jamais redémarrés offrent toujours une surface d'attaque.
L'accès conditionnel et l'authentification multifacteur par clé physique limitent les risques de vol de session. Le FBI recommande aux particuliers un redémarrage régulier de leurs appareils. Cette action efface parfois certains scripts malveillants logés dans la mémoire vive.
Cette campagne prouve que la sécurité du cloud Microsoft dépend de la robustesse des serveurs à Redmond et de la configuration de la petite boîte en plastique dans l'entrée des abonnés.
Les experts préconisent aussi la surveillance des journaux de connexion pour repérer des accès depuis des plages IP inhabituelles.
Par ailleurs l'opération conjointe entre le FBI et les autorités internationales a permis l'identification de centaines de victimes supplémentaires en Europe.
Source : TechSpot
