Un gruppo di hacker legati al governo russo starebbe attaccando e compromettendo migliaia di router domestici e di piccoli uffici in tutto il mondo, reindirizzando il traffico Internet delle vittime per sottrarre password e token di accesso. L'operazione, attribuita al gruppo APT28 (noto anche come Fancy Bear), è stata confermata dai ricercatori di sicurezza britannici del NCSC e dai Black Lotus Labs.

L'attacco sfrutta vulnerabilità note in router MikroTik e TP-Link, molti dei quali non aggiornati o con firmware obsoleto. Una delle falle più sfruttate è la CVE‑2023‑50224, che consente a un aggressore non autenticato di ottenere informazioni sensibili tramite richieste HTTP manipolate. Milioni di dispositivi non hanno mai ricevuto la patch, rendendoli un bersaglio ideale. Il metodo principale utilizzato è il DNS hijacking: modificando le impostazioni DNS del router, gli hacker reindirizzano le richieste degli utenti verso server controllati dall'infrastruttura russa. Le vittime vengono così indirizzate a pagine di login falsificate, identiche a quelle reali, dove inseriscono inconsapevolmente le proprie credenziali.

Questa tecnica ha già permesso agli attaccanti di intercettare password, token OAuth e altri dati sensibili, aggirando anche l'autenticazione a due fattori. In molti casi, il router continuava a funzionare normalmente, rendendo l'intrusione invisibile agli utenti. Secondo le analisi, la campagna ha finora compromesso almeno 18.000 router in circa 120 Paesi, colpendo enti governativi, forze dell'ordine, provider email e infrastrutture critiche per lo più in Africa, Nord Africa, America Centrale e Sud‑Est asiatico. Microsoft ha confermato che oltre 200 organizzazioni e 5.000 dispositivi consumer risultano coinvolti, inclusi ministeri degli esteri e agenzie governative in Africa. L'azienda ha pubblicato un rapporto tecnico che descrive come i router compromessi propaghino le impostazioni DNS malevole a tutti i dispositivi collegati alla rete locale.

Il gruppo APT28, collegato al servizio di intelligence militare russo GRU, è noto per operazioni di spionaggio ad alto profilo, tra cui l'attacco al Comitato Nazionale Democratico statunitense nel 2016 e il sabotaggio ai sistemi satellitari Viasat nel 2022. La campagna sui router rappresenta un'evoluzione strategica: invece di colpire server governativi protetti, si punta ai dispositivi periferici, spesso trascurati e privi di monitoraggio. Le autorità statunitensi e britanniche hanno avviato operazioni coordinate per smantellare l'infrastruttura utilizzata dagli hacker. L'FBI è attesa annunciare il sequestro di diversi domini impiegati per il reindirizzamento del traffico, mentre partner internazionali hanno collaborato per disattivare server e VPS utilizzati come nodi della rete malevola.

Articoli raccomandati:

Wi‑Fi 8 al CES26. La nuova generazione è già qui, obiettivo effi...

Russia, cani randagi trasformati in hotspot Wi-Fi

Google disattiva i termostati Nest. Un hacker li resuscita con firmware alternat...

Resuscitare l'aspirapolvere smart ucciso da remoto dal produttore

Il caso mette in evidenza la crescente vulnerabilità dei dispositivi di rete domestici, spesso configurati con password predefinite o non aggiornati per anni. Gli esperti sottolineano che i router rappresentano un punto d'ingresso critico: controllandoli, un attaccante può manipolare il traffico di tutti i dispositivi collegati, inclusi smartphone, PC e dispositivi IoT. Il NCSC ha anche pubblicato una lista dei router TP-Link sotto attacco, che riportiamo qui sotto.

Spunti di approfondimento:

Oltre 9.000 router Asus compromessi da una botnet

Gli oggetti vecchi, pericolosi perché abbandonati

Il router completamente open source

Lampadine smart, due falle regalano agli hacker la password del Wi-Fi