Tecnologia

Gli hacker di Stato russi arruolano i router nelle botnet

Un avviso internazionale segnala che hacker legati ai servizi russi sfruttano router vulnerabili per mascherare attacchi contro infrastrutture sensibili.

14 lug 2026 3 min lettura A cura di Redazione
Gli hacker di Stato russi arruolano i router nelle botnet
Condividi

Gli hacker legati ai servizi di sicurezza russi continuano a compromettere in massa i router domestici e dei piccoli uffici, trasformandoli in strumenti per nascondere operazioni contro organizzazioni sensibili. L’allarme riguarda soprattutto dispositivi vulnerabili o configurati male, arruolati in botnet che permettono agli attaccanti di far apparire il traffico ostile come proveniente da normali connessioni residenziali. La campagna è attribuita ad attori del Centro 16 dell’FSB, il servizio di sicurezza federale russo.

L’avviso, diffuso dalla Cybersecurity and Infrastructure Security Agency statunitense insieme alle autorità di Australia, Danimarca, Nuova Zelanda e Regno Unito, descrive compromissioni opportunistiche ai danni di reti appartenenti a diversi settori delle infrastrutture critiche. I gruppi coinvolti sono monitorati con numerose denominazioni, tra cui Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard e Static Tundra. Nomi differenti che identificano attività ricondotte allo stesso perimetro operativo russo.

Il principale vettore indicato è il Simple Network Management Protocol, o SNMP, uno standard utilizzato per raccogliere, organizzare e modificare informazioni relative ai dispositivi di rete. Gli aggressori scandagliano intervalli di indirizzi IP alla ricerca di agenti SNMP attivi che accettano credenziali comuni o predefinite. Le scansioni vengono eseguite attraverso le stesse reti di router compromessi nelle quali gli operatori cercano di inserire nuove macchine. In presenza di configurazioni deboli, il traffico malevolo inviato da indirizzi falsificati può sfruttare l’agente SNMP per eseguire malware sul dispositivo.

I router compromessi diventano nodi di uscita per attacchi contro settori strategici

Una volta ottenuto il controllo, il router viene impiegato come nodo di uscita per sondare o colpire obiettivi nei comparti delle comunicazioni, della difesa, dell’energia, dei servizi finanziari e della pubblica amministrazione. Il passaggio attraverso un dispositivo apparentemente innocuo e dotato di un indirizzo IP considerato affidabile riduce la probabilità che il traffico venga bloccato da firewall e altri sistemi di difesa. Il router non è quindi soltanto la vittima dell’intrusione, ma diventa parte dell’infrastruttura utilizzata per condurre attacchi successivi.

Il fenomeno si inserisce in una contesa che coinvolge da anni apparati domestici e aziendali. Anche operatori legati al governo cinese hanno compromesso router su larga scala, arrivando in alcuni casi a contendersi dispositivi già occupati da altri gruppi. Il governo statunitense ha impartito comandi occulti e adottato misure per disinfettare alcuni apparati, mentre Google e altre aziende hanno lavorato per interrompere grandi botnet. Gli interventi restano però temporanei: gli operatori riescono a sostituire le reti neutralizzate con nuove infrastrutture.

Un indirizzo IP residenziale può rendere il traffico ostile meno riconoscibile

Una tecnica analoga è rappresentata dai proxy residenziali, utilizzati anche dalla criminalità informatica a scopo finanziario per occultare il vero indirizzo IP. In diversi casi queste reti sono composte da milioni di dispositivi per lo streaming venduti con malware già installato. L’avviso dedicato alle operazioni russe non richiama invece le campagne identiche attribuite negli ultimi anni alla Cina, concentrandosi sulle modalità tecniche impiegate dagli attori collegati all’FSB e sulle misure necessarie per ridurne la superficie d’attacco.

Disabilitare le vecchie versioni di SNMP riduce la superficie d’attacco

La raccomandazione principale è disabilitare SNMP 1 e 2, versioni che non cifrano le password e non adottano altre pratiche di sicurezza basilari. Quando il protocollo è indispensabile dovrebbe essere utilizzato soltanto SNMP 3; in assenza di una necessità specifica, la scelta più sicura rimane disattivarlo completamente. Le ulteriori contromisure comprendono la disabilitazione di Cisco Smart Install, l’impiego di password robuste, l’aggiornamento regolare del firmware e la rinuncia ai protocolli di rete non necessari. Una configurazione trascurata può trasformare un comune router in una copertura operativa per campagne contro bersagli strategici.

Articoli Correlati