guerra ibrida

Così i Servizi russi hanno compromesso router in tutto il mondo: le contromisure



Indirizzo copiato

Una campagna decennale, orchestrata dal “Centro 16” del Servizio Federale di Sicurezza russo, l’FSB, ha compromesso router e dispositivi di rete, configurati in modo debole o non aggiornato, per trasformarli in nodi di appoggio da cui lanciare, in forma anonima, operazioni contro le infrastrutture critiche a livello globale. Il caso Turla

Pubblicato il 17 lug 2026

Maria Beatrice Versaci

Analyst, Hermes Bay



Router non aggiornati; TP-Link, proposta negli Usa: divieto di vendita dei router prodotti in Cina; Attacco hacker contro i router: ma lasciamo porte aperte ai cyber criminali filo-russi; La tecnica con cui l'FSB compromette router in tutto il mondo: le contromisure
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti


La Cybersecurity and Infrastructure Security Agency (CISA) statunitense, insieme a NSA, FBI e alle agenzie di intelligence di altri dodici paesi, ha reso pubblico lunedì 13 luglio un avviso congiunto che descrive una campagna decennale, orchestrata dal “Centro 16” del Servizio Federale di Sicurezza russo, l’FSB.

Il target: router e dispositivi di rete configurati in modo debole o non aggiornato, con l’obiettivo di trasformare tali dispositivi compromessi in nodi di appoggio da cui lanciare, in forma anonima, operazioni contro le infrastrutture critiche a livello globale.

La pubblicazione dell’avviso coincide, non casualmente, con il primo pacchetto di sanzioni cibernetiche adottato congiuntamente da Unione Europea e Regno Unito.

L’Fsb all’attacco di router e dispositivi

Le agenzie occidentali negli anni hanno ricondotto al Centro una serie di ormai noti attori di minaccia, tra cui Berserk Bear, Energetic Bear, Dragonfly e Static Tundra.

La dichiarazione dell’Alto rappresentante dell’Unione Europea per gli affari esteri, pubblicata lo stesso giorno, ha inoltre attribuito al Centro anche il controllo del gruppo di cyberspionaggio noto come Turla, attivo almeno dal 2010 e responsabile, secondo Bruxelles, di intrusioni prolungate nei sistemi governativi francesi e, più di recente, nell’industria della difesa.

Nel decennio precedente, cluster riconducibili allo stesso ecosistema erano già stati osservati in campagne contro il settore energetico, basate su aggiornamenti software compromessi.

Un’indagine del Dipartimento di Giustizia statunitense aveva già formalizzato, anni fa, il collegamento tra queste attività e il Centro 16 dell’FSB.

La tecnica d’attacco

La tecnica descritta nell’avviso congiunto prevede la scansione di ampi intervalli di indirizzi IP alla ricerca di dispositivi che espongono il protocollo SNMP nelle versioni 1 e 2, molto datate e prive di cifratura, spesso configurate con le cosiddette community string di default, le credenziali di fabbrica raramente modificate dagli utenti.

Individuato un dispositivo vulnerabile, gli attaccanti inviano richieste SNMP Set da IP falsificati, con identificatori OID che istruiscono l’apparato a copiare la configurazione in un file, spesso rinominato config.bkp, e a trasferirlo via TFTP (Trivial File Transfer Protocol) verso un’infrastruttura controllata dagli aggressori.

In alcuni casi il gruppo ha inoltre sfruttato una vulnerabilità critica nella funzione Cisco Smart Install, nota dal 2018, e un difetto ancora più datato su apparati fuori produzione.

Il file sottratto può contenere credenziali amministrative, chiavi VPN e mappe della topologia di rete, utili a movimenti laterali futuri.

L’elemento che contraddistingue tale campagna è l’uso fatto dei dispositivi una volta acquisiti.

Questi sono usati infatti come punto di partenza, instradando il traffico attraverso router domestici o di piccoli uffici con indirizzi IP apparentemente innocui, così da eludere i sistemi di difesa basati sulla reputazione dell’indirizzo, che tipicamente bloccano il traffico da infrastrutture cloud o da paesi a rischio.

Questo modello, noto come proxy residenziale, non è prerogativa esclusiva dello spionaggio di Stato: la stessa architettura viene sfruttata su scala ancora più ampia dalla criminalità informatica, spesso attraverso dispositivi IoT venduti con malware già preinstallato.

Le agenzie firmatarie dell’avviso segnalano inoltre sovrapposizioni tecniche tra le procedure del cluster riconducibile al Centro 16 e quelle di altri attori legati alla Cina, come il gruppo tracciato con il nome Salt Typhoon, segno che la debolezza sfruttata è strutturale e non specifica di un singolo attore statale.

Geopolitica e tecnica d’attacco

La dimensione politica degli annunci sopra menzionati è rilevante quanto quella tecnica.

Il pacchetto di sanzioni adottato da Bruxelles e Londra, il primo del genere, colpisce complessivamente oltre trenta tra individui ed entità, inclusi ufficiali dei servizi di intelligence militare russi, operatori di malware e società accusate di reclutare personale tecnico presso università russe.

Le stesse autorità hanno attribuito al Centro 16 il tentativo di sabotaggio, poi fallito, contro la rete di riscaldamento ed elettrica polacca dello scorso dicembre, che secondo Varsavia avrebbe potuto lasciare senza corrente centinaia di migliaia di persone in pieno inverno, oltre a intrusioni contro impianti di trattamento delle acque nello stesso paese.

L’avviso tecnico sui router, pubblicato lo stesso giorno dalle medesime coalizioni di agenzie, viene dunque presentato come parte di una risposta coordinata a un fenomeno che le cancellerie europee descrivono ormai come un ecosistema, più che come un singolo gruppo di hacker.

Tra le nazioni che hanno co-firmato l’avviso figura anche l’Italia, insieme ad Australia, Canada, Francia, Nuova Zelanda, Polonia, Regno Unito e diversi altri paesi europei.

Le raccomandazioni per difendersi dall’Fsb e dagli attacchi ai router

Sul piano operativo, le raccomandazioni restano più rilevanti per chi gestisce reti aziendali e infrastrutture critiche che per il singolo utente domestico, ma indicano una direzione chiara.

La prima misura è l’abbandono delle versioni 1 e 2 di SNMP in favore della versione 3, che introduce autenticazione forte e cifratura tramite la modalità authPriv.

Inoltre, laddove il protocollo non è necessario, la disattivazione completa resta l’opzione più sicura.

Le agenzie raccomandano anche di disabilitare Cisco Smart Install sui dispositivi che non lo richiedono, di sostituire le community string predefinite con credenziali robuste, di memorizzare le password con gli algoritmi di hashing più recenti evitando i formati più deboli ancora supportati per compatibilità, e di bloccare a livello di firewall perimetrale il traffico sulle porte associate a TFTP, Smart Install e SNMP quando non indispensabile.

Suggeriscono infine di monitorare i log per individuare richieste SNMP Set anomale dirette agli identificatori usati per la copia delle configurazioni, e di pianificare la sostituzione degli apparati privi di supporto, per i quali le patch non sono più disponibili.

La superficie d’attacco

Il dato che le agenzie sottolineano con maggiore insistenza è che nessuna di queste intrusioni richiede una vulnerabilità mai individuata prima, poiché la superficie di attacco sfruttata dal Centro 16 esiste da anni ed è in larga parte riconducibile a configurazioni mai aggiornate dopo l’installazione iniziale.

Le azioni di disarticolazione dei singoli botnet condotte finora, comprese quelle promosse da alcune grandi aziende tecnologiche, hanno mostrato un’efficacia solo temporanea, perché gli operatori sostituiscono rapidamente l’infrastruttura perduta attingendo allo stesso bacino di router mal configurati disponibili su scala globale.

Finché quel bacino resterà disponibile, la possibilità di reperire nodi proxy a basso costo e difficili da attribuire continuerà a rappresentare, per attori statali e criminali allo stesso modo, una risorsa più conveniente da rigenerare che da difendere.

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x