Gli Hacker Russi Stanno Dirottando le Impostazioni DNS dei Router Domestici

Hacker Militari Russi Prendono di Mira Router Domestici e da Ufficio

Una sofisticata campagna di DNS hijacking collegata all'esercito russo ha compromesso più di 5.000 dispositivi consumer e oltre 200 organizzazioni, secondo quanto riportato dai ricercatori di sicurezza informatica. Il gruppo responsabile degli attacchi, noto come Forest Blizzard (monitorato anche come APT28 o Strontium), ha legami con l'intelligence militare russa ed è attivo in intrusioni di alto profilo da anni.

Il metodo di attacco è semplice ma estremamente efficace. Invece di prendere di mira direttamente singoli computer o telefoni, il gruppo modifica le impostazioni DNS sui router domestici e per piccoli uffici. Una volta che un router è compromesso, ogni dispositivo ad esso connesso — laptop, telefoni, smart TV, computer di lavoro — diventa un potenziale bersaglio.

Come Funziona Davvero il DNS Hijacking

Il DNS, o Domain Name System, viene talvolta descritto come la rubrica telefonica di internet. Quando si digita l'indirizzo di un sito web nel browser, il dispositivo interroga un server DNS per trovare l'indirizzo IP numerico necessario per connettersi. In condizioni normali, quella richiesta viene indirizzata a un server DNS affidabile, spesso fornito dal proprio provider di servizi internet.

Quando gli attaccanti modificano la configurazione DNS di un router, reindirizzano quelle richieste verso server da loro controllati. Da lì, possono vedere esattamente quali siti si sta cercando di visitare e, in alcuni casi, intercettare il traffico effettivo. I ricercatori hanno scoperto che questo metodo ha consentito a Forest Blizzard di acquisire dati in chiaro, tra cui email e credenziali di accesso, dai dispositivi connessi ai router compromessi.

Questo è particolarmente preoccupante perché molti utenti danno per scontato che le loro comunicazioni siano protette semplicemente perché utilizzano siti HTTPS o servizi di posta elettronica cifrati. Ma quando il DNS viene dirottato a livello di router, gli attaccanti acquisiscono visibilità sui flussi di traffico e possono, in determinate condizioni, eludere quella protezione.

Chi È Forest Blizzard?

Forest Blizzard, noto anche con gli alias APT28 e Strontium, è ampiamente attribuito all'agenzia di intelligence militare GRU della Russia. Il gruppo è stato collegato ad attacchi contro agenzie governative, appaltatori della difesa, organizzazioni politiche e infrastrutture critiche in Europa e Nord America.

Questa campagna rappresenta un cambiamento tattico verso le infrastrutture consumer. I router domestici e per piccoli uffici vengono spesso trascurati dal punto di vista della sicurezza. Raramente ricevono aggiornamenti del firmware, spesso funzionano con credenziali predefinite e non vengono tipicamente monitorati dai team di sicurezza informatica. Questo li rende punti di ingresso appetibili per un gruppo che intende intercettare le comunicazioni su larga scala.

Compromettere i router consente inoltre agli attaccanti di mantenere un accesso persistente. Anche se il malware viene rimosso da un singolo dispositivo, un router compromesso continua a reindirizzare il traffico finché il router stesso non viene ripulito e riconfigurato.

Cosa Significa Questo per Te

Se utilizzi un router domestico o per piccolo ufficio standard, questa campagna ti riguarda direttamente, anche se non sei un dipendente governativo o un probabile bersaglio di spionaggio. La portata dell'attacco — più di 5.000 dispositivi consumer — suggerisce che il targeting sia ampio piuttosto che chirurgico.

Ci sono alcune misure pratiche che vale la pena adottare in risposta a questa notizia.

Controlla le impostazioni DNS del tuo router. Accedi al pannello di amministrazione del router (di solito all'indirizzo 192.168.1.1 o 192.168.0.1) e verifica che i server DNS elencati siano quelli che riconosci e di cui ti fidi. Se vedi indirizzi IP non familiari che non hai impostato tu stesso, è un segnale d'allarme.

Aggiorna il firmware del router. I produttori di router rilasciano periodicamente aggiornamenti del firmware che correggono le vulnerabilità di sicurezza. Molti router dispongono di un'opzione per verificare la presenza di aggiornamenti direttamente nel pannello di amministrazione. Se il tuo router ha diversi anni di vita e il produttore non lo supporta più, prendi in considerazione la sostituzione.

Cambia la password amministrativa predefinita del router. Le credenziali predefinite sono ampiamente note e sono tra le prime cose che gli attaccanti provano. Una password forte e univoca per l'interfaccia di amministrazione del router alza significativamente la barriera d'ingresso.

Usa una VPN con protezione contro i DNS leak. Una VPN instrada il tuo traffico, incluse le richieste DNS, attraverso un tunnel cifrato verso server esterni alla tua rete locale. Anche se il DNS del router è stato manomesso, una VPN con adeguata protezione contro i DNS leak garantisce che le tue richieste vengano risolte dai server del provider VPN anziché da quelli di un attaccante. Questo non rende sicuro un router compromesso, ma limita significativamente ciò che un attaccante può osservare o intercettare.

Valuta l'utilizzo indipendente di DNS cifrato. I servizi che supportano DNS over HTTPS (DoH) o DNS over TLS (DoT) cifrano le tue richieste DNS anche senza una VPN, rendendole più difficili da intercettare o reindirizzare.

La campagna di Forest Blizzard è un promemoria del fatto che la sicurezza di rete inizia dal router. I dispositivi che connettono la tua casa o il tuo ufficio a internet meritano la stessa attenzione riservata ai computer e ai telefoni sulla tua scrivania. Tenerli aggiornati, correttamente configurati e monitorati non è facoltativo — è la base su cui poggia tutto il resto. Se non hai rivisto le impostazioni del tuo router di recente, questo è un buon momento per iniziare.