L’Office fédéral allemand pour la protection de la Constitution a averti que des pirates informatiques liés à l’État russe avaient exploité les vulnérabilités des routeurs TP-Link pour accéder à des réseaux sensibles. L’alerte a été émise en collaboration avec le Federal Intelligence Service et le Federal Bureau of Investigation.
Le groupe de hackers APT28, également connu sous le nom de Fancy Bear, est attribué à l’agence de renseignement militaire russe, le GRU. Les gouvernements occidentaux accusent depuis plusieurs années APT28 de mener des activités de cyberespionnage.
Les autorités ont signalé que des milliers de routeurs ont été ciblés dans le monde, dont environ 30 en Allemagne. Dans les cas confirmés de violations, certains opérateurs ont remplacé les appareils concernés. La cyber-campagne s’est principalement concentrée sur les réseaux militaires, gouvernementaux et d’infrastructures critiques. Le BfV a indiqué que l’APT28 avait déjà attaqué diverses institutions allemandes, notamment le parlement et le parti politique SPD.
En 2024, le ministère américain de la Défense a publié un avis concernant les cyberacteurs russes utilisant des routeurs compromis pour leurs cyberopérations, précisant le 85e centre principal de services spéciaux du GRU, connu sous le nom d’APT28 ou Forest Blizzard.
L’avis indiquait que les attaques permettaient aux pirates de voler des informations d’identification, de collecter des hachages NTLMv2, d’acheminer le trafic réseau et d’héberger des pages de phishing et des outils de piratage.
Dans le même ordre d’idées, la Federal Communications Commission a annoncé une interdiction des nouveaux routeurs fabriqués à l’étranger aux États-Unis. Les configurations Internet domestiques existantes ne sont pas affectées, car l’interdiction s’applique uniquement aux nouveaux appareils, les fournisseurs étant autorisés à demander des exemptions.
