Hacker russi dirottano migliaia di router domestici in 120 Paesi: come riconoscere l’attacco e proteggerti

Non è fantascienza: decine di migliaia di router casalinghi sono stati trasformati in armi di spionaggio. E sì, il tuo potrebbe essere uno di quelli. Ecco come funziona l’attacco, perché è pericoloso e cosa devi fare subito.

Cosa è successo (e perché dovresti interessartene)

Ricercatori di Black Lotus Labs (di Lumen Technologies) hanno documentato una campagna su larga scala attribuita ad APT28, noto anche come Fancy Bear, gruppo legato al servizio segreto militare russo GRU. Tra 18.000 e 40.000 router domestici in oltre 120 Paesi sarebbero stati compromessi e usati come infrastruttura per dirottare traffico, rubare credenziali e condurre attività di spionaggio contro ministeri degli esteri, forze dell’ordine e agenzie governative. La tecnica chiave? Manomissione DNS per instradare gli utenti verso pagine fasulle, anche su domini legati a Microsoft e potenzialmente a Microsoft 365, e catturare login e token di accesso. Fonte: Ars Technica.

Chi c’è dietro l’operazione

APT28/Fancy Bear non è un nome nuovo nella sicurezza informatica. Parliamo di un attore avanzato (APT) con risorse, obiettivi geopolitici e una lunga storia di attacchi contro obiettivi istituzionali e aziende. Qui l’elemento chiave è l’uso di router consumer come proxy per raggiungere bersagli di “alto profilo” partendo da dispositivi di “basso profilo”. Geniale nella semplicità, devastante nell’impatto.

Perché proprio i router domestici

Perché sono ovunque, spesso non aggiornati, con password deboli, funzioni remote attive di default e firmware fuori supporto. In più, il router è il “capostazione” del nostro traffico: se lo controlli, controlli dove vanno le richieste, cosa viene risolto a livello DNS e cosa passa in chiaro o cifrato. È l’anello debole perfetto.

Come funziona l’attacco, in parole semplici

  • Compromissione iniziale: i criminali sfruttano vulnerabilità note, credenziali predefinite o servizi esposti (es. amministrazione remota) su router non aggiornati.
  • Rete di proxy: un sottoinsieme di dispositivi viene usato come “ponte” per raggiungere e sondare altri obiettivi, offuscando l’origine del traffico malevolo.
  • Manomissione DNS: vengono alterate le ricerche di domini selezionati (anche legati a servizi Microsoft), reindirizzando verso pagine clone o server controllati dai criminali.
  • Furto credenziali: l’utente inserisce username, password o approva login senza accorgersi del dirottamento; in alcuni casi vengono catturati token e sessioni.
  • Espansione e spionaggio: con le credenziali rubate, gli attori accedono a caselle email, documenti, app aziendali e infrastrutture governative per raccogliere informazioni sensibili.

Impatti concreti: non è “solo” spionaggio

Il rischio non riguarda esclusivamente governi e aziende. Se il tuo router è compromesso, puoi:

  • Essere reindirizzato a siti fasulli e consegnare credenziali (email, social, home banking, lavoro).
  • Vedere compromessi i tuoi account Microsoft/M365 o applicazioni con SSO, con effetti a catena su lavoro e vita privata.
  • Diventare parte dell’infrastruttura d’attacco: il tuo IP può risultare coinvolto in attività illegali o offensive verso terzi.
  • Soffrire degrado di performance e instabilità di rete per traffico proxy non autorizzato.

Difenderti oggi: la checklist essenziale

  • Aggiorna subito il firmware: accedi al pannello del router e installa l’ultima versione. Se disponibili, attiva gli aggiornamenti automatici.
  • Cambia le credenziali di amministrazione: usa una password forte e unica; disabilita username predefiniti o crea un nuovo admin dove possibile.
  • Blocca l’accesso dall’esterno: disattiva l’amministrazione remota e limita l’accesso al pannello solo dalla tua rete locale.
  • Chiudi le porte inutili: spegni UPnP e WPS se non indispensabili; rimuovi port forwarding non necessari.
  • Rafforza il Wi‑Fi: usa WPA2/WPA3, nascondi o rinomina l’SSID, imposta una password robusta e diversa da quella dell’admin.
  • Segrega i dispositivi IoT: crea una rete ospiti o VLAN separata per smart TV, videocamere e gadget connessi.
  • Imposta DNS affidabili: valuta provider noti con protezioni anti-phishing; dove possibile abilita DNS-over-HTTPS sul browser o sui dispositivi.
  • Controlla segni di compromissione: cambi DNS non autorizzati, regole strane di port forwarding, pannello che chiede credenziali “nuove”, log anomali, riavvii inspiegabili.
  • Se sospetti un’infezione: esegui un reset di fabbrica, aggiorna il firmware prima di riconfigurare, reimposta tutto da zero e cambia le password dei servizi usati di recente.
  • Abilita MFA ovunque: preferisci app di autenticazione o passkey invece degli SMS; revoca le sessioni attive dopo il reset del router.
  • Sostituisci hardware datato: se il produttore non rilascia più aggiornamenti, passa a un modello supportato e con update automatici.

Piccolo promemoria per chi lavora in azienda

  • Monitora DNS e traffico in uscita da sedi e smart working: cerca risoluzioni anomale di domini “sensibili”.
  • Applica MFA obbligatoria e policy di accesso condizionale su email e suite cloud.
  • Distribuisci router gestiti o client di sicurezza per postazioni remote, con policy centralizzate.

Domande scomode (ma utili) da farti ora

  • So che modello di router ho e se riceve aggiornamenti?
  • Chi fa gli update a casa mia e con quale frequenza?
  • I miei dispositivi IoT sono su una rete separata?
  • Ho attivato MFA su email, social e strumenti di lavoro?

Morale: Internet è potente quanto vulnerabile. E il primo firewall è la tua consapevolezza.

Iscriviti alla newsletter e ricevi ogni mattina la puntata con le fonti.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.