Notizie

Un gruppo di hacker russi prende di mira i router domestici e quelli dei piccoli uffici per spiare gli utenti

di Pieter Arntz | 8 aprile 2026
pannello frontale di un router

I funzionari della sicurezza britannici hanno scoperto che un gruppo legato all'esercito russo sta spiando gli utenti di router SOHO (Small Office/Home Office) compromessi nell'ambito di una vasta campagna di spionaggio informatico. Un blog di Microsoft approfondisce i dettagli tecnici di questi attacchi.

Il gruppo, che chiameremo APT28, ma che è noto anche con nomi quali Fancy Bear, BlueDelta e Forest Blizzard, modifica le impostazioni DNS dei router compromessi in modo che il loro traffico venga instradato attraverso server sotto il proprio controllo, consentendo così ad APT28 di spiare gli utenti.

Il sistema dei nomi di dominio (DNS) è il meccanismo che consente di individuare i nomi di dominio Internet e di tradurli in indirizzi IP (Internet Protocol). I dispositivi solitamente ottengono le impostazioni di rete dai router tramite il protocollo DHCP (Dynamic Host Configuration Protocol).

Se un hacker riesce a manomettere le impostazioni DNS del router, può deviare il traffico in modo invisibile attraverso un’infrastruttura da lui controllata, raccogliere credenziali di accesso e, in alcuni casi, interponersi tra l’utente e il servizio effettivo. Ecco perché questa campagna può favorire il furto di credenziali e persino l’intercettazione mirata del traffico di Microsoft 365 e di altri servizi cloud.

Secondo un comunicato dell'FBI, APT28:

«…ha raccolto password, token di autenticazione e informazioni sensibili, tra cui indirizzi e-mail e dati relativi alla navigazione sul web, normalmente protetti dalla crittografia SSL (Secure Socket Layer) e TLS (Transport Layer Security).»

Secondo l'FBI, il gruppo ha lanciato una vasta rete negli Stati Uniti e in tutto il mondo, per poi restringere il campo delle vittime a coloro che avevano accesso a informazioni relative all'esercito, al governo e alle infrastrutture critiche.

L'avviso dell'NCSC individua un singolo modello di TP-Link (WR841N) affetto da una vulnerabilità nota che consente a un aggressore non autenticato di ottenere informazioni quali nomi utente e password tramite richieste HTTP GET appositamente manipolate. Questo modello di router è ampiamente diffuso tra i consumatori e le piccole imprese e non viene solitamente utilizzato come apparecchiatura standard dai principali fornitori di servizi Internet. L'articolo include inoltre un elenco lungo, ma non esaustivo, di altri modelli di router TP-Link presi di mira da APT28.

Secondo Microsoft Threat Intelligence, sono state individuate oltre 200 organizzazioni e 5.000 dispositivi di consumatori colpiti dall'infrastruttura DNS dannosa di Forest Blizzard.

Il dibattito sul divieto dei router

Qualche settimana fa abbiamo commentato la decisione della FCC di impedire di fatto l’importazione di router di fabbricazione straniera, a meno che i loro produttori non ottengano un’esenzione, a causa di quello chela FCC ha definitoun «rischio inaccettabile per la sicurezza nazionale degli Stati Uniti o per l’incolumità e la sicurezza dei cittadini statunitensi».

Le azioni di APT28 evidenziano il tipo di rischio che la FCC sta cercando di contrastare, ma rafforzano anche la nostra tesi: mentre il dibattito sul divieto dei router e sulle restrizioni alla catena di approvvigionamento si concentra spesso sull’origine nazionale, la questione più importante è se i dispositivi siano effettivamente sicuri. Se un router viene fornito con impostazioni predefinite deboli, uno scarso supporto agli aggiornamenti o una procedura di configurazione confusa, diventa un bersaglio indipendentemente da dove sia stato prodotto. Gli hacker non hanno bisogno della perfezione. Hanno solo bisogno di un numero sufficiente di dispositivi esposti per costruire un'infrastruttura ampia e silenziosa per lo spionaggio e il reindirizzamento.

Cosa puoi fare

Per verificare se le impostazioni sono corrette, possiamo fornire solo indicazioni generali, poiché a volte dipendono molto dal dispositivo specifico. Tuttavia, questo metodo di solito funziona:

Come verificare che le impostazioni DHCP del router corrispondano a quelle previste dal proprio provider:

  1. Controlla le informazioni DHCP attuali sul dispositivo.
    Su un PC o uno smartphone connesso alla rete domestica, apri le impostazioni di rete e prendi nota dell'indirizzo IP, della maschera di sottorete, del gateway predefinito e dei server DNS utilizzati dal dispositivo.
  2. Accedi al tuo router e individua le impostazioni WAN/Internet.
    Nell'interfaccia web del router, consulta la pagina "Stato" o "Internet" per verificare quale indirizzo ha ricevuto dal provider di servizi Internet (ISP) e quali server DNS è configurato per utilizzare.
  3. Confronta questi dati con quanto riportato nella documentazione del tuo ISP o con le informazioni che ti ha fornito.
    Consulta le pagine di assistenza del tuo ISP o contatta il servizio di assistenza per verificare quali siano le loro indicazioni: se la tua connessione debba utilizzare il protocollo DHCP o PPPoE, in quale intervallo debba rientrare il tuo indirizzo IP pubblico e quali server DNS forniscano normalmente. Eventuali discrepanze significative (ad esempio, server DNS situati in un altro Paese o appartenenti a un’organizzazione sconosciuta) costituiscono un motivo per approfondire la questione.
  4. Se utilizzi un DNS personalizzato, prendine nota.
    Se utilizzi intenzionalmente un DNS alternativo (ad esempio, un resolver che garantisce privacy o sicurezza), prendine nota e verifica periodicamente che il router e i client continuino a utilizzare gli indirizzi che hai scelto.

Altre misure

Se te lo puoi permettere e non l'hai ancora fatto, passa alWi-Fi 7per garantire che la tua configurazione sia a prova di futuro, finché i modelli attuali sono ancora disponibili nei negozi.

Dovresti almeno:

  • Modifica i nomi utente e le password predefiniti del router con altri più difficili da indovinare.
  • Controlla il sito web del produttore per eventuali aggiornamenti, verifica la data di fine vita del prodotto e aggiorna il firmware all'ultima versione disponibile.
  • Ove possibile, disabilitare le interfacce di gestione remota accessibili da Internet.
  • Tutti gli utenti dovrebbero prestare particolare attenzione agli avvisi relativi ai certificati visualizzati nei browser web e nei client di posta elettronica, poiché indicano che c'è qualcosa che non va nella connessione sicura e potrebbero significare che non ci si sta collegando al sito autentico.

Per gli utenti con una certa dimestichezza tecnica, sostituire il firmware del produttore con alternative open source comeOpenWrtoDD-WRTpuò prolungare la durata di funzionamento sicuro del router. Tuttavia, questa operazione comporta dei rischi, tra cui l'annullamento della garanzia o il potenziale blocco del dispositivo. È consigliabile procedere in questo modo, o farlo eseguire da qualcuno, solo se si ha dimestichezza con la risoluzione dei problemi.

Se un cittadino statunitense sospetta di essere stato preso di mira o compromesso da un attacco informatico di origine russa, è pregato di segnalare l'accadutoall'ufficio locale dell'FBIo di presentare una denunciaall'IC3. Assicurarsi di fornire dettagli sul router interessato, compresi il tipo di dispositivo e le configurazioni DHCP.

Naviga come se nessuno ti guardasse. 

Malwarebytes Privacy VPN la tua connessione e non registra mai le tue attività, così la prossima notizia che leggerai non ti sembrerà una questione personale.Provalo gratis → 

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Notizie
Logo di JDownloader

Gli hacker hanno sostituito i file di installazione di JDownloader con malware

Maggio 15, 2026

Il sito web di JDownloader è stato compromesso e per diversi giorni download del programma di installazione hanno diffuso malware.

AI
Instagram tra WhatsApp e Instagram

Il nuovo e poco chiaro approccio di Meta alla privacy delle chat

Maggio 15, 2026

WhatsApp offre ora chat con messaggi che scompaiono gestite dall'intelligenza artificiale, che secondo Meta non è in grado di leggere. Nel frattempo, Instagram ha Instagram rimosso la funzione che impediva a Meta di leggere i tuoi messaggi.

Privacy
Logo di Yahoo Mail

Perché Malwarebytes alcuni reindirizzamenti di Yahoo Mail

Maggio 14, 2026

Alcuni utenti di Yahoo Mail potrebbero ricevere Malwarebytes ripetuti Malwarebytes a causa di connessioni in background a domini di terze parti sospetti. Ecco perché.

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe