Quel router che raccoglie polvere in un angolo della casa potrebbe rappresentare una porta spalancata per gli hacker dell’intelligence militare russa. Non è un’esagerazione: le agenzie federali americane, tra cui FBI e NSA, hanno reso noto che un’unità del GRU russo, conosciuta come APT28 o Fancy Bear, ha compromesso in modo sistematico router domestici e da piccolo ufficio almeno dal 2024. L’obiettivo era intercettare credenziali, token di autenticazione e comunicazioni sensibili. Una campagna così estesa che le autorità statunitensi hanno dovuto resettare da remoto migliaia di dispositivi sul territorio americano tramite un ordine del tribunale. Ma senza un intervento attivo da parte dei singoli proprietari di router, il problema resta tutt’altro che risolto.
L’attacco ha preso di mira i cosiddetti router SOHO (small office/home office), e l’operazione è stata classificata come un attacco di tipo DNS hijacking: in pratica, le richieste DNS vengono intercettate modificando le configurazioni di rete predefinite dei router, permettendo agli attori malevoli di visualizzare il traffico degli utenti in chiaro. Secondo un report di Microsoft Threat Intelligence, sono state identificate oltre 200 organizzazioni e 5.000 dispositivi consumer colpiti. Il tutto con l’obiettivo dichiarato di raccogliere informazioni su strutture militari, governative e infrastrutture critiche. Come ha spiegato Daniel Dos Santos, vicepresidente della ricerca presso la società di cybersecurity Forescout, esiste un grosso trend nello sfruttamento dei router, sia sul fronte consumer che su quello aziendale.
Quali router sono stati colpiti
L’annuncio dell’FBI fa riferimento in particolare al TP-Link TL-WR841N, un modello Wi-Fi 4 originariamente rilasciato nel 2007. Il National Cyber Security Centre del Regno Unito ha però pubblicato una lista di ben 23 modelli TP-Link presi di mira, precisando che probabilmente non è nemmeno completa. Tra i dispositivi coinvolti figurano modelli come il TP-Link Archer C5, Archer C7, WDR3600, WDR4300, WR740N, MR3420, WR1043ND, WR840N, WR841HP, WR842N, WR845N, WR941ND, WR945N e diversi altri, inclusi access point come il WA801ND e il WA901ND.
Un portavoce di TP-Link ha dichiarato che tutti i modelli coinvolti hanno raggiunto lo stato di fine vita e fine servizio già da diversi anni. Nonostante questo, l’azienda ha sviluppato aggiornamenti di sicurezza per alcuni modelli legacy dove tecnicamente possibile, invitando gli utenti con questi router obsoleti a passare a un dispositivo più recente.
Come mettere in sicurezza il proprio router
La NSA ha indicato alle organizzazioni una serie di buone pratiche per proteggere la propria rete domestica. La cosa più importante, per chi usa uno dei dispositivi compromessi, è sostituire il router il prima possibile. Se un dispositivo non riceve aggiornamenti firmware da anni, è come lasciare la porta della propria rete spalancata. Come ha sottolineato Rik Ferguson, vicepresidente della security intelligence di Forescout, il router occupa una posizione privilegiata all’interno di qualsiasi rete: tutto il traffico e tutte le comunicazioni passano attraverso quel dispositivo, e più a lungo lo si ignora, maggiore è il rischio.
Oltre a passare a un dispositivo più recente che riceva ancora aggiornamenti di sicurezza, ci sono altri passaggi fondamentali. Aggiornare regolarmente il firmware, possibilmente attivando gli aggiornamenti automatici. Riavviare il router, lo smartphone e il computer almeno una volta a settimana, perché i riavvii regolari aiutano a rimuovere eventuali impianti malevoli. Cambiare le credenziali di accesso predefinite, dato che esiste un’intera economia sommersa basata sulla raccolta e la rivendita di username e password di fabbrica. Disabilitare la gestione remota, una funzione che la maggior parte degli utenti comuni non utilizza mai ma che rappresenta uno dei canali principali sfruttati dagli attaccanti. Infine, l’FBI raccomanda specificamente l’uso di una VPN per chi accede a dati sensibili da remoto, poiché questi servizi cifrano il traffico rendendolo inaccessibile agli hacker.