Une opération internationale des autorités a perturbé un réseau de cyberespionnage lié au service de renseignement militaire russe. L'opération était dirigée par le FBI américain et menée en collaboration avec la Police de sécurité finlandaise (Supo) et le Centre de cybersécurité de l'agence Traficom. C'est ce qu'annonce la Police de sécurité finlandaise dans un communiqué de presse.
L'opération visait un réseau mondial d'appareils connectés à Internet piratés, principalement des routeurs domestiques, qui auraient été utilisés à des fins d'espionnage. Selon les autorités, un cyberacteur lié au service de renseignement militaire russe GRU (Direction générale du renseignement) a exploité des routeurs insuffisamment protégés pour collecter des informations et dissimuler son trafic.
Certains routeurs du fabricant TP-Link se seraient révélés particulièrement vulnérables. En exploitant une faille de sécurité connue, des attaquants ont pu accéder aux identifiants de connexion enregistrés et prendre ainsi le contrôle des appareils.
– Un cyberacteur malveillant lié au GRU, également connu sous les noms APT28, Fancy Bear et Forest Blizzard, a ces dernières années exploité tout particulièrement des routeurs domestiques insuffisamment protégés dans le cadre de son infrastructure mondiale de cyberespionnage. Cette vulnérabilité permet à l'attaquant de révéler les identifiants de connexion stockés via une requête d'information et de les exploiter en prenant le contrôle de l'appareil à ses propres fins, écrit la Police de sécurité finlandaise dans son communiqué de presse.
Une fois un routeur compromis, celui-ci a pu être utilisé pour rediriger le trafic Internet et mener des attaques dites de type « homme du milieu ». De cette façon, les attaquants peuvent dans certains cas intercepter ou manipuler le trafic de données. Les appareils peuvent également servir d'intermédiaires dans des cyberopérations de plus grande envergure, rendant ainsi les activités plus difficiles à détecter et à tracer.
Selon les autorités, les activités ont notamment visé des informations liées aux opérations militaires, à l'administration publique et aux infrastructures critiques.
La Police de sécurité finlandaise et le Centre de cybersécurité indiquent avoir identifié des routeurs à risque en Finlande, informé leurs propriétaires et pris des mesures pour empêcher tout accès ultérieur. Les autorités soulignent par ailleurs que la menace posée par les activités de renseignement et de cyberespionnage russes est de nature durable.
– Au cours de l'opération conjointe, les autorités ont informé les propriétaires des routeurs à risque, nettoyé les appareils auxquels le GRU était en mesure d'accéder et empêché le GRU d'accéder aux appareils en collaboration avec leurs propriétaires. Les services de renseignement russes représentent toutefois une menace de renseignement et de cyberespionnage continue et durable contre la Finlande, et le démantèlement d'un seul réseau d'appareils ne supprime pas cette menace, écrit la Police de sécurité finlandaise dans son communiqué de presse.
Les autorités appellent également les particuliers à renforcer la sécurité de leurs réseaux domestiques, notamment en mettant à jour leurs routeurs et en utilisant des mots de passe robustes. Ces mesures peuvent réduire le risque que des équipements soient exploités à des fins de cyberattaques ou d'espionnage.

