Sicurezza informatica

L'FBI Smantella la Rete di Router per il DNS Hijacking del GRU Russo

8 aprile 20264 min di lettura

FBI e DOJ Smantellano la Rete di Router dell'Intelligence Militare Russa

Il Dipartimento di Giustizia degli Stati Uniti e l'FBI hanno annunciato il 7 aprile 2026 di aver portato a termine un'operazione autorizzata dal tribunale per smantellare una rete di router compromessi utilizzata da un'unità all'interno della Direzione Principale dell'Intelligence russa, meglio nota come GRU. L'operazione ha preso di mira migliaia di router per piccoli uffici e uffici domestici (SOHO) che erano stati silenziosamente dirottati per condurre attacchi di DNS hijacking contro individui e organizzazioni nei settori militare, governativo e delle infrastrutture critiche.

La portata e il metodo dell'operazione offrono una visione chiara di come gli attori sponsorizzati da stati sfruttino hardware consumer trascurato per condurre sofisticate campagne di raccolta di informazioni.

Come Ha Funzionato l'Attacco di DNS Hijacking

L'unità del GRU ha sfruttato vulnerabilità note nei router TP-Link, un marchio comunemente diffuso in case e piccole aziende di tutto il mondo. Una volta penetrati all'interno di un dispositivo, gli aggressori ne hanno manipolato le impostazioni DNS. Il DNS, ovvero Domain Name System, è il processo che traduce un indirizzo web come "esempio.com" nell'indirizzo IP numerico che i computer utilizzano per connettersi. Funziona, essenzialmente, come la rubrica di indirizzi di Internet.

Modificando le impostazioni DNS dei router compromessi, il GRU era in grado di reindirizzare il traffico attraverso server sotto il proprio controllo, senza che il proprietario del dispositivo se ne accorgesse mai. Questa tecnica è nota come attacco Actor-in-the-Middle. Quando le vittime tentavano di visitare siti web legittimi o di accedere ai propri account, le loro richieste venivano silenziosamente deviate. Poiché gran parte di questo traffico era non crittografato, gli aggressori erano in grado di raccogliere password, token di autenticazione e contenuti di posta elettronica in testo normale.

Le vittime non stavano necessariamente facendo nulla di sbagliato. Utilizzavano i loro router normali, visitavano siti web normali. L'attacco avveniva a livello infrastrutturale, al di sotto della visibilità della maggior parte degli utenti e persino di molti team IT.

Perché i Router SOHO Sono un Bersaglio Ricorrente

I router per piccoli uffici e uffici domestici sono diventati un punto d'accesso preferito per i sofisticati attori delle minacce per diversi motivi. Sono numerosi, spesso scarsamente manutenuti e raramente monitorati. Gli aggiornamenti del firmware sui router consumer sono poco frequenti e molti utenti non cambiano mai le credenziali predefinite né rivedono le impostazioni del dispositivo dopo la configurazione iniziale.

Non è la prima volta che l'FBI è dovuto intervenire per bonificare reti di router compromessi. Operazioni simili hanno preso di mira infrastrutture botnet negli anni precedenti, coinvolgendo hardware di diversi produttori. La costanza di questo vettore d'attacco riflette un problema strutturale: i router si trovano al confine di ogni rete, ma ricevono un'attenzione alla sicurezza di gran lunga inferiore rispetto ai dispositivi che si trovano alle loro spalle.

L'operazione autorizzata dal tribunale del Dipartimento di Giustizia ha comportato la modifica remota dei router compromessi per recidere l'accesso del GRU e rimuovere le configurazioni dannose. Questo tipo di intervento è raro e richiede l'approvazione di un giudice, a testimonianza di quanto le autorità statunitensi considerassero seria la minaccia.

Cosa Significa Questo Per Te

Se utilizzi un router consumer a casa o in un piccolo ufficio, questa operazione è un segnale diretto che il tuo hardware può diventare parte di un'operazione di intelligence senza che tu ne sia a conoscenza o vi partecipi. L'attacco non richiedeva alle vittime di cliccare su un link dannoso o scaricare nulla. Richiedeva soltanto che il loro router eseguisse un firmware vulnerabile e che il loro traffico Internet vi transitasse senza crittografia.

Alla luce di questa notizia, vi sono misure concrete che vale la pena adottare.

In primo luogo, verifica se sono disponibili aggiornamenti del firmware per il tuo router e installali. I produttori di router correggono regolarmente le vulnerabilità note, ma queste correzioni sono utili solo se installate. Molti router consentono di abilitare gli aggiornamenti automatici tramite la propria interfaccia di configurazione.

In secondo luogo, cambia le credenziali di accesso predefinite del tuo router. Un gran numero di dispositivi compromessi in operazioni come questa viene violato utilizzando nomi utente e password predefiniti di fabbrica, che sono pubblicamente documentati.

In terzo luogo, considera come appare il tuo traffico Internet quando lascia il router. Il traffico non crittografato, che si tratti di connessioni HTTP, di alcuni protocolli di posta elettronica o di determinate comunicazioni applicative, può essere letto se il tuo DNS viene reindirizzato. L'utilizzo di protocolli DNS crittografati come DNS-over-HTTPS (DoH) o DNS-over-TLS (DoT) garantisce che le tue query DNS non possano essere intercettate o manipolate da un router compromesso o da un server attraverso cui instrada il traffico.

In quarto luogo, una VPN può fornire un ulteriore livello di protezione crittografando il traffico tra il tuo dispositivo e un server affidabile prima ancora che raggiunga il tuo router o il tuo fornitore di servizi Internet. Ciò significa che, anche se il DNS del tuo router è stato manomesso, il contenuto del tuo traffico rimane illeggibile per chiunque si trovi tra te e la tua destinazione.

Nessuna di queste misure è complessa o costosa, ma l'operazione del GRU dimostra chiaramente che il traffico non crittografato e l'hardware privo di patch creano un'esposizione reale per persone reali, non solo un rischio astratto.

L'intervento dell'FBI ha smantellato questa particolare rete, ma le vulnerabilità di fondo nell'hardware dei router consumer rimangono. Tenersi informati e adottare misure di protezione di base è la risposta più pratica a una superficie d'attacco che difficilmente scomparirà.

// FAQ

Quali router sono stati presi di mira nell'operazione di DNS hijacking del GRU?

L'unità del GRU ha sfruttato vulnerabilità note specificamente nei router TP-Link, un marchio comunemente diffuso in case e piccole aziende di tutto il mondo.

Cos'è un attacco Actor-in-the-Middle?

Un attacco Actor-in-the-Middle è una tecnica con cui gli aggressori reindirizzano il traffico Internet delle vittime attraverso server da loro controllati senza che il proprietario del dispositivo ne sia a conoscenza, consentendo loro di intercettare dati non crittografati come password e contenuti di posta elettronica.

Chi erano i bersagli degli attacchi di DNS hijacking?

Gli attacchi prendevano di mira individui e organizzazioni nei settori militare, governativo e delle infrastrutture critiche.

Come hanno smantellato l'FBI e il DOJ la rete di router del GRU?

Il Dipartimento di Giustizia ha condotto un'operazione autorizzata dal tribunale che ha comportato la modifica remota dei router compromessi per recidere l'accesso del GRU e rimuovere le configurazioni dannose.

Perché i router SOHO sono considerati un bersaglio attraente per gli attori delle minacce?

I router SOHO sono numerosi, raramente monitorati e spesso scarsamente manutenuti, con aggiornamenti del firmware poco frequenti e molti utenti che non cambiano mai le credenziali predefinite dopo la configurazione iniziale.

FBI e DOJ Smantellano la Rete di Router dell'Intelligence Militare Russa

Come Ha Funzionato l'Attacco di DNS Hijacking

Perché i Router SOHO Sono un Bersaglio Ricorrente

Cosa Significa Questo Per Te

// FAQ

// Correlati