En 2024, des pirates informatiques soutenus par l'État russe ont pris pour cible des milliers d'appareils réseau associés aux secteurs des infrastructures critiques des États-Unis, selon le FBI.Le FBI a averti que les pirates informatiques soutenus par l'État russe ont ciblé des milliers d'appareils réseau associés aux secteurs d'infrastructures critiques américains au cours de l'année écoulée. Ces cybercriminels sont associés au Centre 16 du Service fédéral de sécurité russe (FSB) et ont exploité une vulnérabilité dans certains appareils Cisco. Dans certains cas, les pirates ont réussi à modifier des fichiers de configuration pour permettre un accès non autorisé, qu'ils ont utilisé pour effectuer des reconnaissances sur les réseaux.
En 2021, le président de Microsoft, Brad Smith, avait déclaré que le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée. L'analyse de la campagne de piratage informatique avait montré que cette cyberattaque était le travail d'un millier de développeurs ou plus. Les services de renseignements américains ont déclaré que la Russie était "probablement" derrière la brèche de SolarWinds, qui semblait viser à collecter des renseignements plutôt qu'à commettre des actes de destruction. Mais la Russie a nié toute responsabilité dans la campagne de piratage.
Récemment, le FBI a averti que les pirates informatiques soutenus par l'État russe ont ciblé des milliers d'appareils réseau associés aux secteurs d'infrastructures critiques américains au cours de l'année écoulée. Ces cybercriminels sont associés au Centre 16 du Service fédéral de sécurité russe (FSB) et ont exploité une vulnérabilité dans certains appareils Cisco. Dans certains cas, les pirates ont réussi à modifier des fichiers de configuration pour permettre un accès non autorisé, qu'ils ont utilisé pour effectuer des reconnaissances sur les réseaux. Cela a « révélé leur intérêt pour les protocoles et les applications couramment associés aux systèmes de contrôle industriels », a déclaré le FBI.
Voici notamment l'avis de l'agence :
Le Federal Bureau of Investigation (FBI) met en garde le public, le secteur privé et la communauté internationale contre la menace que représentent pour les réseaux informatiques et les infrastructures critiques les cyberacteurs attribués au Centre 16 du Service fédéral de sécurité russe (FSB). Le FBI a détecté des cybercriminels russes du FSB exploitant le protocole SNMP (Simple Network Management Protocol) et des périphériques réseau en fin de vie présentant une vulnérabilité non corrigée (CVE-2018-0171) dans Cisco Smart Install (SMI) pour cibler largement des entités aux États-Unis et dans le monde entier.
Au cours de l'année écoulée, le FBI a détecté que ces cybercriminels collectaient des fichiers de configuration pour des milliers de périphériques réseau associés à des entités américaines dans des secteurs d'infrastructures critiques. Sur certains appareils vulnérables, les cybercriminels ont modifié les fichiers de configuration afin de permettre un accès non autorisé à ces appareils. Ils ont utilisé cet accès non autorisé pour mener des opérations de reconnaissance dans les réseaux des victimes, ce qui a révélé leur intérêt pour les protocoles et les applications couramment associés aux systèmes de contrôle industriels.
L'unité du Centre 16 du FSB qui mène cette activité est connue des professionnels de la cybersécurité sous plusieurs noms, notamment « Berserk Bear » et « Dragonfly », qui font référence à des groupes d'activités cybernétiques distincts mais liés. Depuis plus d'une décennie, cette unité compromet des appareils réseau dans le monde entier, en particulier ceux qui acceptent des protocoles hérités non cryptés tels que les versions 1 et 2 de SMI et SNMP. Cette unité a également déployé des outils personnalisés sur certains appareils Cisco, tels que le logiciel malveillant identifié publiquement sous le nom de « SYNful Knock » en 2015.
Le FBI et ses partenaires chargés de l'application de la loi ont précédemment publié des recommandations qui restent d'actualité dans une alerte technique intitulée « Russian State-Sponsored Cyber Actors Targeting Network Infrastructure Devices » (Acteurs cybercriminels soutenus par l'État russe ciblant les dispositifs d'infrastructure réseau) le 20 avril 2018, et dans un avis conjoint intitulé « Primary Mitigations to Reduce Cyber Threats to Operational Technology » (Mesures principales pour réduire les cybermenaces pesant sur les technologies opérationnelles) le 6 mai 2025. En outre, Cisco Talos a publié un article de blog le 20 août 2025 contenant plus d'informations sur son analyse de cet acteur malveillant, identifié par Cisco Talos sous le nom de Static Tundra.
Si vous pensez avoir été ciblé ou compromis par une cyberintrusion du FSB russe, signalez immédiatement cette activité à votre bureau local du FBI ou déposez une plainte auprès du Centre de plainte contre la criminalité sur Internet (IC3) du FBI.
Avant de déposer une plainte auprès de l'IC3, vérifiez votre routeur et vos autres appareils réseau afin de détecter tout changement de configuration ou tout logiciel malveillant qui aurait pu être installé sur ces appareils. Une fois cette vérification effectuée, fournissez ces informations détaillées dans votre plainte auprès de l'IC3.
Au cours de l'année écoulée, le FBI a détecté que ces cybercriminels collectaient des fichiers de configuration pour des milliers de périphériques réseau associés à des entités américaines dans des secteurs d'infrastructures critiques. Sur certains appareils vulnérables, les cybercriminels ont modifié les fichiers de configuration afin de permettre un accès non autorisé à ces appareils. Ils ont utilisé cet accès non autorisé pour mener des opérations de reconnaissance dans les réseaux des victimes, ce qui a révélé leur intérêt pour les protocoles et les applications couramment associés aux systèmes de contrôle industriels.
L'unité du Centre 16 du FSB qui mène cette activité est connue des professionnels de la cybersécurité sous plusieurs noms, notamment « Berserk Bear » et « Dragonfly », qui font référence à des groupes d'activités cybernétiques distincts mais liés. Depuis plus d'une décennie, cette unité compromet des appareils réseau dans le monde entier, en particulier ceux qui acceptent des protocoles hérités non cryptés tels que les versions 1 et 2 de SMI et SNMP. Cette unité a également déployé des outils personnalisés sur certains appareils Cisco, tels que le logiciel malveillant identifié publiquement sous le nom de « SYNful Knock » en 2015.
Le FBI et ses partenaires chargés de l'application de la loi ont précédemment publié des recommandations qui restent d'actualité dans une alerte technique intitulée « Russian State-Sponsored Cyber Actors Targeting Network Infrastructure Devices » (Acteurs cybercriminels soutenus par l'État russe ciblant les dispositifs d'infrastructure réseau) le 20 avril 2018, et dans un avis conjoint intitulé « Primary Mitigations to Reduce Cyber Threats to Operational Technology » (Mesures principales pour réduire les cybermenaces pesant sur les technologies opérationnelles) le 6 mai 2025. En outre, Cisco Talos a publié un article de blog le 20 août 2025 contenant plus d'informations sur son analyse de cet acteur malveillant, identifié par Cisco Talos sous le nom de Static Tundra.
Si vous pensez avoir été ciblé ou compromis par une cyberintrusion du FSB russe, signalez immédiatement cette activité à votre bureau local du FBI ou déposez une plainte auprès du Centre de plainte contre la criminalité sur Internet (IC3) du FBI.
Avant de déposer une plainte auprès de l'IC3, vérifiez votre routeur et vos autres appareils réseau afin de détecter tout changement de configuration ou tout logiciel malveillant qui aurait pu être installé sur ces appareils. Une fois cette vérification effectuée, fournissez ces informations détaillées dans votre plainte auprès de l'IC3.
Talos, la branche de recherche sur les menaces de Cisco, a expliqué dans un avis séparé qu'un sous-groupe de ce groupe, qu'il a baptisé « Static Tundra », cible une vulnérabilité vieille de sept ans dans la fonctionnalité Smart Install de l'entreprise. L'entreprise a proposé un correctif pour cette vulnérabilité, mais celle-ci reste un problème dans les appareils réseau non corrigés et en fin de vie, a-t-elle averti.
« Une fois qu'ils ont établi un accès initial à un périphérique réseau, Static Tundra s'introduit davantage dans l'environnement cible, compromettant d'autres périphériques réseau et établissant des canaux pour une persistance à long terme et la collecte d'informations », a noté Talos. Les secteurs des télécommunications, de l'enseignement supérieur et de la fabrication sont les principales cibles du groupe de pirates informatiques russe. Talos a exhorté les clients de Cisco à appliquer le correctif ou à désactiver la fonctionnalité Smart Install.
Différents rapports ont déjà révélé des cyberattaques provenant des pirates informatiques soutenus par l'État russe. En 2024, Microsoft avait révélé que des acteurs de la menace ont tenté de s'introduire dans ses systèmes dans le but de voler ses secrets ainsi que les secrets partagés entre Microsoft et ses clients. Elle a annoncé dans un nouveau rapport que l'attaque a conduit au vol d'une partie de son code source. Le rapport initial indiquait que des pirates russes avaient espionné les comptes de courriel de certains membres de son équipe dirigeante.
Source : Avis du FBI
Et vous ?
Pensez-vous que cet avertissement est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Les agences de sécurité américaines suspendent leur collaboration pour contrer le sabotage et les cyberattaques russes, tandis que Donald Trump se rapproche de Vladimir Poutine Des pirates informatiques pro-russes ont ouvert à distance les vannes d'un barrage en Norvège, libérant plus de 7,2 millions de litres d'eau, une attaque attribuée au groupes pro-russes Z-Alliance Le FBI accuse des pirates nord-coréens d'être à l'origine du vol de 1,5 milliard $ de cryptomonnaies contre Bybit. Le groupe Lazarus serait responsable du "plus grand vol de cryptomonnaie de l'histoire"
Vous avez lu gratuitement 191 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.