La Russia sfrutta i router vulnerabili per rubare token di Microsoft Office Un allarmante rapporto di esperti di sicurezza rivela che gruppi di hacker legati all'intelligence militare russa sono riusciti a compromesso router Internet obsoleti per raccogliere in modo massiccio…
La Russia sfrutta i router vulnerabili per rubare token di Microsoft Office
Un allarmante rapporto di esperti di sicurezza rivela che gruppi di hacker legati all’intelligence militare russa sono riusciti a compromesso router Internet obsoleti per raccogliere in modo massiccio token di autenticazione degli utenti di Microsoft Office. Questa operazione di spionaggio ha permesso agli hacker, sostenuti dallo stato, di raccogliere silenziosamente informazioni sensibili da oltre 18.000 reti globali, senza dover installare software maligno.
La scoperta degli esperti di sicurezza
Microsoft ha pubblicato un comunicato in cui avverte che oltre 200 enti e 5.000 dispositivi di consumo sono stati coinvolti in questa rete di spionaggio, orchestrata da un attore noto come “Forest Blizzard”. Questo gruppo, identificato anche come APT28 e Fancy Bear, è stata in passato collegato a tentativi di interferenza nelle elezioni americane del 2016. Le indagini condotte da Black Lotus Labs, una divisione di Lumen, hanno rivelato che il picco di attività di Forest Blizzard è avvenuto nel dicembre 2025, quando ha sfruttato router ormai obsoleti e non aggiornati, principalmente modelli di Mikrotik e TP-Link, destinati a piccole e medie aziende.
Tecniche di attacco e vulnerabilità
I ricercatori hanno osservato che gli hacker non hanno utilizzato virus o malware, ma hanno approfittato di vulnerabilità note per modificare le impostazioni del DNS dei router compromessi. Questo permetteva loro di reindirizzare gli utenti verso server DNS controllati dagli aggressori. Secondo il National Cyber Security Centre (NCSC) del Regno Unito, il DNS è fondamentale per navigare in rete, poiché traduce gli indirizzi web in IP comprensibili. In un attacco di “DNS hijacking”, gli hacker possono deviare il traffico degli utenti verso siti malevoli, dove è possibile rubare credenziali e informazioni personali.
Il sistema di attacco si basa sul fatto che i token di autenticazione vengono trasmessi solo dopo il login attraverso meccanismi di sicurezza avanzati, come l’autenticazione a due fattori. In questo modo, gli hacker possono accedere direttamente agli account delle vittime senza dover necessariamente rubare le credenziali di accesso.
Impatti sulle aziende italiane
L’uso di router vulnerabili è una questione che tocca anche il panorama italiano, dove molte piccole e medie imprese utilizzano dispositivi simili. La scarsa attenzione alla sicurezza informatica di questi strumenti può rivelarsi fatale, esponendo dati sensibili e compromettendo la privacy degli utenti. Con il crescente numero di attacchi informatici orchestrati da gruppi ben organizzati, le aziende italiane dovrebbero prestare maggiore attenzione alla scelta dei dispositivi di rete e mantenere aggiornati i loro sistemi di protezione.
In risposta a questa minaccia, il 23 marzo il Federal Communications Commission (FCC) degli Stati Uniti ha annullato la certificazione di router di consumo prodotti all’estero, classificandoli come un rischio per la sicurezza nazionale. Le aziende italiane potrebbero trarre insegnamento da queste misure preventive e valutare attentamente le loro infrastrutture IT per evitare di diventare obiettivi di attacchi informatici.
Conclusione
La scoperta di questo attacco da parte di Forest Blizzard suggerisce che le minacce informatiche sono in continua evoluzione e che anche tecniche “tradizionali” possono risultare efficaci. Per utenti e aziende, mantenere la sicurezza della propria rete non è mai stato così cruciale. Investire in dispositivi sicuri e aggiornati, oltre a formare il personale sulle pratiche di sicurezza informatica, può fare la differenza nel proteggere dati sensibili da attacchi mirati.
