https://cyberveille.ch/tags/soho-routers/ Recent content in SOHO Routers on CyberVeille Hugo -- 0.146.0 fr-fr Sat, 11 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-11-forest-blizzard-compromet-des-routeurs-soho-pour-du-dns-hijacking-et-des-attaques-aitm/ Sat, 11 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-11-forest-blizzard-compromet-des-routeurs-soho-pour-du-dns-hijacking-et-des-attaques-aitm/ <h2 id="-contexte">🌐 Contexte</h2> <p>Source : Microsoft Threat Intelligence Blog, publié le 7 avril 2026. Cet article présente une analyse technique d&rsquo;une campagne active attribuée à <strong>Forest Blizzard</strong> (acteur lié au renseignement militaire russe), active depuis au moins <strong>août 2025</strong>, impliquant la compromission massive de dispositifs <strong>SOHO (Small Office/Home Office)</strong>.</p> <h2 id="-acteurs-et-ciblage">🎯 Acteurs et ciblage</h2> <ul> <li><strong>Forest Blizzard</strong> et son sous-groupe <strong>Storm-2754</strong> sont les acteurs identifiés.</li> <li>Plus de <strong>200 organisations</strong> et <strong>5 000 appareils grand public</strong> ont été impactés.</li> <li>Secteurs ciblés : <strong>gouvernement</strong>, <strong>technologies de l&rsquo;information</strong>, <strong>télécommunications</strong>, <strong>énergie</strong>.</li> <li>Des attaques AiTM spécifiques ont visé <strong>au moins trois organisations gouvernementales en Afrique</strong>.</li> </ul> <h2 id="-chaîne-dattaque">🔗 Chaîne d&rsquo;attaque</h2> <ol> <li><strong>Compromission de routeurs SOHO</strong> : exploitation de dispositifs vulnérables pour modifier leur configuration DNS par défaut.</li> <li><strong>DNS Hijacking</strong> : redirection des requêtes DNS vers des résolveurs contrôlés par l&rsquo;acteur via l&rsquo;outil légitime <strong>dnsmasq</strong> (port 53).</li> <li><strong>Attaques AiTM sur TLS</strong> : dans un sous-ensemble de cas, l&rsquo;acteur usurpe les réponses DNS pour forcer les victimes à se connecter à une infrastructure malveillante présentant un <strong>certificat TLS invalide</strong> imitant des services Microsoft.</li> <li><strong>Interception de trafic</strong> : si la victime ignore l&rsquo;avertissement de certificat invalide, l&rsquo;acteur peut intercepter le trafic en clair, incluant potentiellement <strong>emails et contenus cloud</strong>.</li> </ol> <h2 id="-techniques-observées">🛠️ Techniques observées</h2> <ul> <li>Utilisation de <strong>dnsmasq</strong> pour la résolution DNS et l&rsquo;écoute sur le <strong>port 53</strong>.</li> <li>Proxying transparent des requêtes DNS dans la majorité des cas.</li> <li>Usurpation ciblée de réponses DNS pour des domaines spécifiques dans les cas d&rsquo;AiTM.</li> <li>Ciblage des domaines <strong>Microsoft Outlook on the web</strong> pour les attaques AiTM M365.</li> <li>Exploitation des appareils edge en amont des cibles principales pour pivoter vers des environnements enterprise.</li> </ul> <h2 id="-impact">📊 Impact</h2> <ul> <li>Collecte passive de trafic DNS à grande échelle.</li> <li>Interception potentielle d&rsquo;emails et de contenus cloud.</li> <li>Aucun actif ou service Microsoft directement compromis selon la télémétrie.</li> <li>Accès potentiel à des environnements cloud via des appareils SOHO d&rsquo;employés en télétravail.</li> </ul> <h2 id="-type-darticle">📄 Type d&rsquo;article</h2> <p>Il s&rsquo;agit d&rsquo;une <strong>analyse de menace</strong> publiée par Microsoft Threat Intelligence, dont le but principal est de documenter les TTPs de Forest Blizzard dans cette campagne et de fournir des indicateurs de détection et des requêtes de chasse aux défenseurs.</p>