C’è anche l’Italia tra i Paesi che hanno firmato l’allerta internazionale su una nuova forma di cyber‑spionaggio russo che sfrutta router di uso comune per intercettare traffico internet e rubare informazioni.
Martedì il dipartimento di Giustizia degli Stati Uniti e il Federal Bureau of Investigation hanno annunciato di aver recentemente smantellato una rete di router SOHO (Small Office/Home Office) della società cinese TP-Link, compromessi da un gruppo legato all’Unità 26165 dell’intelligence militare russa (Gru), nota anche come APT28 (o Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear e Sednit). «L’unità ha utilizzato i router per facilitare operazioni di dirottamento del Domain Name System (DNS) contro obiettivi in tutto il mondo di interesse per l’intelligence del governo russo, tra cui individui nei settori militare, governativo e delle infrastrutture critiche», si legge nella nota. A stretto giro è stato diffuso un comunicato «per avvertire il pubblico e incoraggiare i difensori delle reti e i proprietari di dispositivi ad adottare misure per porre rimedio e ridurre la superficie di attacco di dispositivi periferici simili». A firmarlo le autorità statunitensi e di Canada, Repubblica Ceca, Danimarca, Estonia, Finlandia, Germania, Italia, Lettonia, Lituania, Norvegia, Polonia, Portogallo, Romania, Slovacchia e Ucraina.
In pagina compaiono anche i loghi delle due agenzie d’intelligence italiane, Aise (Agenzia informazioni e sicurezza esterna) e Aisi (Agenzia informazioni e sicurezza interna), segnale che Roma partecipa attivamente al monitoraggio e alla risposta a questa minaccia condivisa con gli alleati occidentali. La presenza delle agenzie italiane non è decorativa: indica che anche l’Italia ritiene la minaccia rilevante per sicurezza nazionale e infrastrutture critiche e che è parte del coordinamento internazionale per mitigare i rischi. La vulnerabilità individuata (CVE-2023-50224) era stata segnalata a settembre nel bollettino dell’Agenzia per la cybersicurezza nazionale.
La minaccia al centro dell’allerta è un gruppo di hacker chiamato APT28 (dove APT sta per Advanced Persistent Threat). Secondo gli analisti di CrowdStrike, APT28 opera almeno dal 2008 e rappresenta una delle organizzazioni più costanti e pericolose nel panorama delle minacce statali globali. Il gruppo ha dimostrato la capacità di coordinare vaste campagne, condurre spionaggio prolungato e attaccare simultaneamente numerosi obiettivi in tutto il mondo. Gli obiettivi tipici includono, come osserva Microsoft, ministeri e apparati governativi, strutture militari e di difesa, industrie strategiche e media, dissidenti e reti politiche, con operazioni spesso allineate agli interessi strategici della Russia. APT28, ricorda la Mitre Corporation, ha una lunga storia di campagne globali: è stato collegato all’hacking del Partito Democratico alle elezioni statunitensi del 2016, a intrusioni contro istituzioni europee come il Parlamento tedesco e a campagne contro enti internazionali di anti‑doping e infrastrutture critiche.
Il National Cyber Security Centre del Regno Unito ha pubblicato un bollettino a sé. Il gruppo, si legge, sta sfruttando vulnerabilità in router di largo uso (modelli di TP‑Link e MikroTik), appositamente configurati dai gestori ma non sempre aggiornati o protetti. Gli hacker riescono così a manipolare il modo in cui questi dispositivi instradano il traffico internet. La tecnica principale si chiama DNS hijacking: invece di far passare i dati attraverso i server legittimi, il traffico viene reindirizzato verso server controllati dagli attaccanti senza che l’utente se ne accorga. Questo permette agli hacker di intercettare credenziali, email o altri dati sensibili. Una delle conseguenze più insidiose è il cosiddetto man‑in‑the‑middle (uomo nel mezzo): l’aggressore si pone tra l’utente e il sito web o il servizio che sta visitando, leggendo o manipolando le comunicazioni in tempo reale, come se stesse guardando nascosto nel mezzo di una conversazione. Secondo gli esperti britannici, l’azione di APT28 sembra partire in modo ampio e «opportunistico», colpendo molti dispositivi, per poi affinare l’attenzione verso obiettivi di particolare interesse per scopi di intelligence.
In Germania il Bundesamt für Verfassungsschutz, il servizio di sicurezza interna, ha identificato decine di router vulnerabili, alcuni dei quali compromessi. Gli operatori sono stati avvisati e diversi dispositivi sono stati sostituiti. L’agenzia ha inoltre avviato indagini forensi per comprendere meglio le tecniche del gruppo e continuerà a monitorare l’evoluzione della minaccia.
Il report tedesco ricorda che APT28 ha già preso di mira nel passato istituzioni come il Bundestag, il Partito socialdemocratico e perfino il sistema di controllo del traffico aereo.
Gli avvisi internazionali convergono su alcune raccomandazioni di buon senso: tenere i firmware dei router aggiornati; usare password robuste e disabilitare accessi remoti non necessari; prestare attenzione a eventuali attività sospette di rete. In un’epoca in cui anche apparecchi di uso quotidiano possono essere sfruttati come strumenti di spionaggio, la cooperazione internazionale resta un elemento chiave per difendere cittadini, istituzioni e infrastrutture critiche.
L’allerta internazionale mette sotto i riflettori TP‑Link, uno dei produttori di router più diffusi al mondo. Questi dispositivi, spesso utilizzati in uffici e case, sono diventati strumenti di intelligence involontari quando non aggiornati o protetti. La vulnerabilità dei router TP‑Link, negli Stati Uniti la Federal Communications Commission ha vietato l’importazione di nuovi router consumer esteri (non viene citata la Cina, ma l’obiettivo è quello) segnalando come la provenienza dei dispositivi e la sicurezza intrinseca siano ormai considerate questioni di sicurezza nazionale. Specie dopo questo bollettino congiunto, potrebbe crescere il pressing americano su alleati e partner affinché prendano contromisure simili, come raccontato nei giorni scorsi su Linkiesta.
