Il Centro nazionale per la sicurezza informatica (NCSC) del Regno Unito avverte che i router vulnerabili consentono agli hacker di rubare password e dati di accesso.
L’NCSC del Regno Unito ha segnalato che un’unità d’élite di hacker militari russi è stata sorpresa a violare router comunemente utilizzati nel Regno Unito, consentendo loro di reindirizzare segretamente il traffico Internet degli utenti attraverso server dannosi sotto il loro controllo.
“FrostArmada di APT28 dimostra come oggetti presenti nella nostra quotidianità, quali i router domestici, siano diventati armi di spionaggio globale”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Secondo Sandro Sana, Ethical Hacker e membro Comitato Scientifico Cyber 4.0, “ancora una volta si parla di attacchi sofisticati, ma la realtà è molto più semplice: stiamo lasciando porte aperte”.
Ecco quali e come correre ai ripari, sapendo che “come scriveva Mark Twain, la storia non si ripete, ma fa rima”, secondo Alessandro Curioni, Fondatore di DI.GI Academy: “qui, più che rima, siamo alla rima baciata, perché il finale è sempre lo stesso”.
Indice degli argomenti
L’attacco hacker contro i router per rubare password e dati di accesso
Martedì l’NCSC ha dichiarato che il gruppo informatico statale russo APT28, un’unità dell’intelligence militare russa, ha sfruttato router Internet vulnerabili per consentire operazioni di dirottamento del sistema dei nomi di dominio (DNS).
“Con una semplice modifica del DNS, questi dispositivi trasformano case, piccoli uffici, e Pmi in basi operative per rubare credenziali, intercettare email e monitorare infrastrutture critiche”, mette in guardia Paganini.
Il dirottamento del DNS ha infatti fornito agli aggressori la possibilità di intercettare il traffico e rubare password e token di accesso da servizi web e di posta elettronica personali.
Il gruppo di sicurezza ha indicato due aziende, TP-Link e MikroTik, come vulnerabili a questo metodo. TP-Link era già finita sulla graticola in precedenza perché esperti statunitensi l’accusano di essere bersaglio di importanti cyber operazioni condotte dalla Cina: le operazioni «Salt Typhoon» e «Volt Typhoon» (datate 2023 e 2024), volte a penetrare nel territorio statunitense.
“Secondo le informazioni disponibili al pubblico, le campagne condotte da attori malintenzionati cinesi, tra cui Volt Typhoon, Salt Typhoon e Flax Typhoon, non mostrano una preferenza evidente per l’utilizzo dei router TP-Link come vettore di attacco. Questi attori hanno preso di mira un’ampia gamma di router, prodotti da diversi fabbricanti”, si legge in una nota dell’azienda.
Il mese scorso, la FCC statunitense ha vietato la vendita di nuovi router Internet di fascia consumer di produzione straniera, perché rapporesentavano una vulnerabilità della catena di approvvigionamento.
Falle non sanate: porte aperte all’attacco hacker anche nei router
Paul Chichester, direttore operativo dell’NCSC, ha affermato che i risultati “dimostrano come le vulnerabilità sfruttate in dispositivi di rete ampiamente utilizzati” possano essere sfruttate da hacker esperti.
Ma la verità è che stiamo lasciando porte aperte. “Router non aggiornati, credenziali deboli, zero governance sugli asset ‘di confine’. Non serve un APT per entrare, basta un firmware vecchio”, sottolinea Sandro Sana.
Infatti “l’ennesima campagna di compromissione prospera sulle nostre dimenticanze più banali: sistemi non aggiornati, password mai cambiate, dispositivi lasciati invecchiare come mobili in soffitta“, conferma Curioni.
“Il punto è che continuiamo a trattare gli oggetti tecnologici come se fossero tutti uguali agli altri, semplici utensili muti e immobili. Peccato che un router non sia una lampadina che quando si brucia, resta lì tranquilla ad aspettare di essere sostituita”, avverte Curioni: “Il router, invece, è una frontiera: da lì passa traffico, identità, lavoro, relazioni, pezzi interi della nostra vita digitale, ed è naturale che qualcuno provi a metterci piede”.
Il vettore d’attacco hacker contro i router
In questo tipo di attacco, gli hacker interferiscono con il processo DNS, che consente agli utenti di accedere ai siti web digitando indirizzi familiari.
Gli utenti possono essere reindirizzati di nascosto verso siti web dannosi progettati per sottrarre credenziali di accesso o altre informazioni sensibili.
L’NCSC ha affermato che tale attività è “probabilmente di natura opportunistica”, secondo il Financial Times, con gli hacker che gettano una rete ampia per raggiungere molte potenziali vittime prima di concentrarsi su obiettivi di interesse per i servizi di intelligence man mano che l’attacco si evolve.
“Oltre 18.000 IP in 120 Paesi sono stati sfruttati, con obiettivi militari, governativi e industriali”, avverte Paganini.
APT28 è protagonista di alcuni degli attacchi informatici più clamorosi degli ultimi anni. Secondo l’NCSC, si tratta «quasi certamente» dell’Unità 26165 del GRU ovvero dei servizi segreti militari russi.
Il suo coinvolgimento è avvenuto negli attacchi informatici contro il Comitato Nazionale Democratico statunitense, il Bundestag tedesco e le strutture logistiche occidentali a supporto dell’Ucraina. È conosciuta con diversi nomi in codice, quali Forest Blizzard e Fancy Bear.
Ma “campagne come questa non nascono da colpi di genio irripetibili, ma da qualcosa di molto più preoccupante: metodo, pazienza e organizzazione. Le organizzazioni criminali non hanno bisogno di magia quando possono contare sulla nostra trascuratezza sistematica”, avverte Curioni.
Come mitigare i rischi
Il direttore operativo dell’NCSC ha esortato aziende e privati a proteggersi adeguatamente. Il Centro britannico nazionale per la sicurezza informatica ha infatti elencato una serie di misure in grado di mitigare i rischi, tra cui l’applicazione di aggiornamenti di sicurezza e l’esecuzione regolare di scansioni antivirus.
“Il problema non è chi attacca, ma perché riesce così facilmente (ad entrare, ndr)”, conclude Sandro Sana: “Finché i router restano fuori dalla gestione della sicurezza, continueremo a raccontarci la stessa storia”.
Ma “la vulnerabilità diffusa dei dispositivi ‘dimenticati’ mostra quanto sia fragile la sicurezza nazionale”, mette in guardia Paganini.
“L’hardware di consumo oggi è un campo di battaglia geopolitico – continua Pierluigi Paganini – e per questo motivo occorre sviluppare e sostenere capacità di qualifica. Ignorare aggiornamenti e protezioni significa aprire la porta a intelligence ostili e trasformare la propria rete in un hub di sorveglianza invisibile”.
Nei router, infatti, “noi vediamo un piccolo scatolotto con due lucine; gli hacker vedono una soglia, un varco, un presidio spesso lasciato senza protezione nel mondo digitale dove le frontiere dimenticate non vengono violate per caso, ma per abitudine”, avvisa Curioni.
Per mitigare i rischi non basta la consapevolezza dei rischi, ma è cruciale “essere in grado di identificare la presenza di falle come di backdoor intenzionali, in gioco vi è la sovranità nazionale. Il caso in oggetto ci ricorda come la guerra digitale sia già qui, nelle nostre case”, conclude Paganini.
