Hacker russi hanno preso il controllo di migliaia di router domestici e aziendali

Un gruppo di hacker legato al governo russo ha violato e assunto il controllo di migliaia di router, i dispositivi usati per connettersi a Internet, sia di utenti privati che di aziende in tutto il mondo. L'obiettivo sarebbe quello di sottrarre password e dati di accesso. L'allarme è stato lanciato dall'unità di sicurezza informatica del governo britannico NCSC (National Cyber Security Center) e dai Black Lotus Labs.

I ricercatori hanno identificato l'operazione come l'ultima iniziativa del gruppo Fancy Bear, noto anche come APT28, ritenuto parte dell'agenzia di intelligence russa GRU, a cui sono state attribuite le violazioni ai sistemi del comitato nazionale democratico americano nel 2016 e l'attacco al fornitore satellitare Viasat nel 2022.

Secondo i rapporti, l'offensiva ha preso di mira dispositivi prodotti da MikroTik e TP-Link non aggiornati. Gli hacker hanno sfruttato vulnerabilità esistenti per compromettere i router che utilizzano software obsoleto, permettendo operazioni di spionaggio remoto all'insaputa degli utenti.

L'NCSC ha descritto la natura della campagna, che consiste nella modifica delle impostazioni dei router per inviare le richieste delle vittime verso un'infrastruttura controllata dagli hacker. Questo meccanismo consente di dirottare gli utenti su siti web contraffatti dove vengono rubate le credenziali necessarie per accedere agli account online. Black Lotus Labs ha rilevato almeno 18.000 vittime in circa 120 paesi, tra cui dipartimenti governativi e forze dell'ordine in Nord Africa, America centrale e Sud-est asiatico.

Microsoft ha confermato la portata dell'operazione identificando oltre 200 organizzazioni e 5.000 dispositivi di consumo compromessi. In risposta alla minaccia, i router interessati hanno ricevuto un comando automatico per ripristinare le impostazioni originali e bloccare ulteriori infiltrazioni.