L’allarme sulle attività di APT28 degli analisti statunitensi e britannici.

Mai come in questi mesi i router domestici e aziendali sono vulnerabili, visto quanto alcuni hacker criminali filo-russi hanno ottenuto a livello globale, con la compromissione di migliaia di dispositivi. Analisti cyber stanno studiando il problema e hanno sottolineato come sia in corso una campagna “finalizzata a reindirizzare il traffico Internet delle vittime e sottrarre password e token di accesso“.

L’operazione, in particolare, ha rappresenta l’ultima evoluzione delle attività del gruppo noto come Fancy Bear, identificato anche come APT28. Il collettivo è già stato protagonista di attacchi informatici di alto profilo e operazioni di cyberspionaggio.

Tra queste, ci sarebbero la violazione del Democratic National Committee nel 2016 e l’attacco distruttivo contro il provider satellitare Viasat nel 2022. Il gruppo, secondo gli analisti statunitensi, è ritenuto “strettamente collegato al GRU” (l’intelligence militare russa).

Quali sono i dispositivi più a rischio?

Secondo il National Cyber Security Centre (NCSC), gli hacker hanno preso di mira “router non aggiornati prodotti da MikroTik e TP-Link, sfruttando vulnerabilità già note“.

Molti di questi dispositivi utilizzano software obsoleti, rendendoli vulnerabili ad attacchi da remoto senza che i proprietari se ne accorgano. Grazie a queste falle, nel corso degli anni i cyber criminali sono riusciti a spiare un vasto numero di utenti, aumentando le informazioni in loro possesso.

L’NCSC ha poi sottolineato: “Le operazioni sembrano essere opportunistiche. Gli attaccanti inizialmente colpiscono un ampio numero di bersagli per poi concentrarsi su obiettivi di maggiore interesse strategico“.

Come avvengono gli attacchi?

Il meccanismo dell’attacco è particolarmente insidioso. I criminali modificano le impostazioni dei router compromessi per deviare in modo invisibile il traffico Internet verso infrastrutture sotto il loro controllo. In questo modo, possono reindirizzare le vittime verso siti web falsi e sottrarre credenziali e token di accesso, “aggirando persino i sistemi di autenticazione a due fattori“.

APT28 avrebbe compromesso almeno 18mila dispositivi in circa 120 Paesi. Avrebbo colpito enti governativi, Forze dell’ordine e servizi di posta elettronica in Nord Africa, America Centrale e Sud-Est asiatico.

Anche Microsoft ha confermato la portata dell’attacco. L’azienda con sede a Redmond ha notificato oltre 200 organizzazioni e 5mila dispositivi dei consumatori coinvolti, tra cui non meno di “tre enti governativi africani“.

La risposta dell’FBI

Negli Usa le autorità stanno intervenendo con decisione, tanto che l’FBI dovrebbe annunciare in questi giorni “il sequestro di diversi domini utilizzati nella campagna“. A livello internazionale è attivo un gruppo di lavoro, di cui è parte anche la stessa FBI, che sta operando per smantellare la botnet e disattivarla.

Nel frattempo, il Department of Justice (DOJ) ha reso noto di aver neutralizzato i router compromessi presenti sul territorio statunitense grazie a un’autorizzazione giudiziaria. Lo stesso DOJ ha spiegato che l’FBI “ha sviluppato una serie di comandi da inviare ai router compromessi“. In questo modo si potranno “raccogliere prove, ripristinare le impostazioni e impedire agli hacker di rientrare nel sistema“.

Vai al sito di Cybersecurity Italia.

L'articolo Router sotto attacco degli hacker criminali filo-russi, a rischio password e profili utenti sembra essere il primo su CyberSecurity Italia.