Il tuo router è vulnerabile? Attacco in corso da un gruppo russo

L’allarme è stato lanciato dal National Cyber Security Centre britannico. Il gruppo APT28 ritenuto vicino al governo russo sta eseguendo attacchi contro i router di alcuni marchi noti con l’obiettivo di indirizzare il traffico generato verso server controllati. La vulnerabilità sfruttata riguarda il sistema DNS e permette di intercettare le informazioni, consentendo di rubare password, token di accesso e altri dati riservati.

Attacco dalla Russia ai router TP-Link e MikroTik

Stando alla ricostruzione fornita, uno dei modelli presi di mira è il TP-Link WR841N (vedi l’elenco completo). È interessato dalla falla CVE-2023-50224 che permette di estrapolare informazioni attraverso una richiesta HTTP GET confezionata ad hoc. Una volta allungate le mani sulle credenziali in questo modo, chi esegue l’attacco è in grado di modificare le configurazioni DHCP e DNS impostando un indirizzo IP malevolo.

La campagna interessa anche alcuni router del marchio MikroTik, ma con numeri contenuti e spesso localizzati in Ucraina. È probabile che in questi casi siano stati messi nel mirino target ben precisi, per ragioni di intelligence legate alla guerra in corso tra i due paesi.

Quali sono le contromisure che si possono adottare per proteggersi dagli attacchi? I consigli sono quelli di sempre. È bene mantenere aggiornati i firmware dei dispositivi così da ricevere le ultime patch di sicurezza e attivare un sistema antivirus eseguendo scansioni periodiche. Inoltre, utilizzare sempre l’autenticazione a due fattori. Quest’ultimo suggerimento è sempre importante, non solo in questo caso specifico, così che anche un eventuale furto delle password non finisca per compromettere gli account.

Il gruppo APT28 è ritenuto collegato ai servizi speciali russi ed è noto anche come Military Unit 26165. Altri appellativi associati sono Fancy Bear, Forest Blizzard, Sednit Gang e Sofacy. Sono responsabili, tra le altre cose, di una campagna di spionaggio perpetrata tramite una vulnerabilità di Office, oltre che di azioni contro enti governativi USA e target ucraini.