Ricercatori di sicurezza e agenzie governative hanno scoperto una massiccia campagna di attacchi informatici di lunga durata che prevede il dirottamento di migliaia di router domestici e di piccole imprese. L’operazione, collegata al gruppo sponsorizzato dallo Stato russo Fancy Bear (APT 28), è stata progettata per intercettare il traffico Internet e rubare password e token di accesso da ignari utenti in tutto il mondo.
I meccanismi dell’attacco: come i router diventano spyware
Gli hacker non hanno preso di mira direttamente i singoli computer; invece, hanno compromesso il punto di ingresso della rete: il router. Sfruttando le vulnerabilità senza patch nei dispositivi prodotti da MikroTik e TP-Link, gli aggressori hanno ottenuto il controllo dell’hardware stesso.
Una volta compromesso un router, gli hacker ne modificavano le impostazioni per eseguire un reindirizzamento in stile “man-in-the-middle”. Questo processo funziona come segue:
1. Reindirizzamento del traffico: le legittime richieste Internet della vittima vengono instradate di nascosto attraverso l’infrastruttura controllata dagli hacker.
2. Spoofing: gli utenti vengono indirizzati a versioni false di siti Web legittimi (come provider di posta elettronica o portali bancari).
3. Furto di credenziali: quando gli utenti inseriscono i propri dati di accesso, gli hacker catturano le loro password e i token di sessione.
Perché è importante: rubando i token di sessione, gli hacker possono aggirare l’autenticazione a due fattori (2FA). Ciò consente loro di prendere il controllo degli account online attivi senza mai aver bisogno del codice di sicurezza secondario della vittima, rendendo inefficace una delle difese moderne più comuni.
Una scala globale: dalle famiglie alle agenzie governative
La portata dell’operazione è vasta, caratterizzata da quello che gli esperti chiamano un approccio “opportunistico”. Invece di prendere di mira individui specifici fin dall’inizio, gli hacker hanno creato un’ampia rete per infettare il maggior numero possibile di dispositivi, filtrando successivamente i dati per trovare obiettivi di alto valore.
I dati provenienti da vari enti di ricerca evidenziano l’ampiezza dell’infezione:
– Black Lotus Labs (Lumen): identificato almeno 18.000 vittime in circa 120 paesi, tra cui forze dell’ordine, dipartimenti governativi e provider di posta elettronica in Nord Africa, America Centrale e Sud-Est asiatico.
– Microsoft: è stato riferito che sono state identificate oltre 200 organizzazioni e 5.000 dispositivi consumer interessati, tra cui almeno tre enti governativi in Africa.
Gli attori dietro la campagna
Il gruppo identificato come autore del reato è Fancy Bear, noto anche come APT 28. Si ritiene che questo gruppo sia affiliato all’agenzia di intelligence militare russa, il GRU.
Fancy Bear ha una storia documentata di spionaggio ad alto rischio e operazioni di disturbo, in particolare:
La violazione del Comitato Nazionale Democratico (DNC) nel 2016 negli Stati Uniti.
L’hack distruttivo del 2022 che ha preso di mira il provider satellitare Viasat.
Contromisure e interruzioni
In risposta alla campagna, una coalizione globale che comprende FBI e Lumen ha adottato misure per distruggere l’infrastruttura degli hacker. Questo sforzo ha incluso la messa offline di una botnet su larga scala e l’interruzione di diversi domini utilizzati per facilitare gli attacchi.
L’aspetto principale per gli utenti è l’importanza fondamentale della manutenzione dell’hardware. Poiché gli aggressori si affidavano a software obsoleto e a vulnerabilità senza patch, molti di questi dispositivi sono rimasti vulnerabili per anni all’insaputa dei proprietari.
Conclusione: questa campagna dimostra come gli aggressori stiano sempre più prendendo di mira l’infrastruttura di rete piuttosto che i dispositivi degli utenti finali per aggirare i moderni livelli di sicurezza come 2FA. Mantenere il firmware aggiornato su tutto l’hardware connesso a Internet rimane una difesa vitale contro minacce così sofisticate sponsorizzate dallo stato.
