Le FBI, le BND et le BfV mettent en garde contre des attaques menées par des hackers étatiques russes sur des routeurs et des prolongateurs Wi-Fi de la marque TP-Link. Le groupe Fancy Bear a infiltré des milliers d'appareils dans le monde entier afin de dérober des données sensibles. En Allemagne, 30 appareils concernés ont d'ores et déjà été identifiés.
Des agences internationales, dont le FBI, la NSA, le BND et le BfV, ont publié un avertissement commun lundi soir. Elles attribuent ces attaques au groupe Fancy Bear, également connu sous le nom d'APT 28, lié au service de renseignement militaire russe, le GRU. Les piratages visent des données liées à l'armée, au gouvernement et aux infrastructures critiques. Depuis la mi-mars, des entreprises informatiques, des restaurants et des particuliers allemands ont reçu des courriers confidentiels de la part du BfV. Celui-ci indiquait : « Un acteur cyber étatique russe compromet actuellement des appareils réseau TP-Link. » Les parties concernées ont reçu des instructions sur la manière de détecter et de corriger ces infections. En Allemagne, des experts ont confirmé les compromissions et procèdent à des examens forensiques des appareils. Les hackers exploitent depuis 2024 une vulnérabilité connue dans les appareils TP-Link, corrigeable via des mises à jour du firmware. En utilisant le détournement DNS, ils redirigent les requêtes web vers des serveurs contrôlés afin de voler des mots de passe, des emails et l'historique de navigation. Le National Cyber Security Centre du Royaume-Uni rapporte également des attaques visant des routeurs MikroTik. Le BfV prévoit de prendre des mesures contre APT 28. TP-Link, entreprise d'origine chinoise, fait face à une surveillance accrue : le Texas a porté plainte en février et la FCC américaine a récemment interdit ses importations pour des raisons de sécurité.
