En début d'année, les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande ont publiquement accusé la Russie pour la cyberattaque NotPetya de juin 2017. Les États-Unis et le Royaume-Uni reviennent à la charge.
Les autorités américaines et britanniques évoquent des exploits pour des routeurs, commutateurs réseau, pare-feu et systèmes de détection d'intrusion. Les cibles seraient principalement des organisations gouvernementales et privées, fournisseurs d'infrastructures critiques et FAI.
" Soutenus par la Russie, des acteurs utilisent des routeurs compromis pour mener des attaques man-in-the-middle à visée d'espionnage, extraire de la propriété intellectuelle, maintenir un accès persistant aux réseaux de victimes, et potentiellement jeter les bases de futures opérations offensives ", peut-on lire dans un communiqué commun.
L'US-CERT publie une alerte à ce sujet pour des attaques qui remonteraient au moins jusqu'à 2016. Elles exploiteraient l'absence de mise à jour firmware, des identifiants faibles ou encore des mauvaises configurations de certaines fonctionnalités.
" Les cyberacteurs russes n'ont pas besoin de tirer parti de vulnérabilités 0day ou d'installer des logiciels malveillants pour exploiter les appareils ", écrit l'alerte. Parmi les vecteurs d'attaque cités, les protocoles Telnet, SNMP, TFTP ou encore SMI.
L'alerte mentionne le cas de l'outil SIET (Smart Install Exploitation Tool) mis en ligne en novembre 2016 et utilisé par des attaquants pour identifier des systèmes affectés par un problème dans le protocole Smart Install de Cisco. Encore récemment, Kaspersky Lab a fait état de switchs vulnérables en rapport avec un problème dans l'utilitaire Cisco Smart Install Client.
Vraisemblablement, la Russie devrait dénoncer des accusations infondées et sans véritable preuve.
