Gruppo hacker russo attacca router domestici per spiare gli utenti

Gruppo hacker russo attacca router domestici per spiare gli utenti

Attenzione: i tuoi router domestici potrebbero essere sotto attacco. Un gruppo di hacker russi sta modificando le impostazioni DNS di migliaia di router SOHO (small office/home office) per spiare password, email e dati sensibili. Soluzione rapida: controlla subito le impostazioni DNS del tuo router confrontandole con quelle del tuo provider internet e cambia le credenziali predefinite.

Questa minaccia è reale e in corso: colpisce utenti privati e piccole imprese in tutto il mondo, inclusa l’Italia. Gli hacker reindirizzano il tuo traffico attraverso server controllati da loro, rubando informazioni protette anche da crittografia SSL/TLS. Non aspettare: agisci ora per verificare la tua rete e rafforzare le difese.

Perché i router sono un bersaglio facile

I router domestici e da piccolo ufficio sono spesso vulnerabili perché molti modelli, come certi TP-Link, hanno falle note che permettono accessi non autorizzati. Gli attaccanti non devono nemmeno crackare password complesse: basta una richiesta HTTP craftata per estrarre username e password. Una volta dentro, cambiano i server DNS (il sistema che traduce i nomi dei siti in indirizzi IP), deviando tutto il tuo traffico.

Immagina di inserire le credenziali su siti bancari o email: finiscono nelle mani degli hacker. Peggio, possono intercettare comunicazioni cloud come Microsoft 365, fingendosi il servizio legittimo. La campagna è vasta: oltre 200 organizzazioni e 5.000 dispositivi consumer colpiti, con focus su settori sensibili come difesa, governo e infrastrutture critiche.

Il dibattito sul bando dei router stranieri

Recentemente, autorità come la FCC negli USA hanno limitato l’importazione di router esteri per rischi di sicurezza nazionale. Questa azione degli hacker dimostra il pericolo, ma il problema non è solo l’origine: router insicuri sono un rischio ovunque. Modelli con password deboli, firmware obsoleti o setup confusi diventano prede facili, indipendentemente dal paese produttore.

In Italia, molti usano router forniti dagli ISP o acquistati online. Controlla se il tuo è tra i modelli vulnerabili, come il popolare TP-Link WR841N o varianti simili.

Cosa puoi fare subito per proteggerti

Non serve essere esperti: segui questi passaggi semplici per verificare e securing la tua rete.

  1. Controlla le impostazioni DHCP sul tuo dispositivo: Su PC, smartphone o tablet connesso alla rete, apri le info di rete. Annota IP address, maschera di sottorete, gateway predefinito e server DNS.

  2. Accedi al pannello del router: Digita l’IP del router (solitamente 192.168.1.1 o 192.168.0.1) nel browser. Usa le credenziali admin (cambiale se sono quelle di default!). Vai su “Status” o “Internet” per vedere le impostazioni WAN.

  3. Confronta con il tuo ISP: Visita il sito di supporto del tuo provider (TIM, Vodafone, Fastweb) o chiama l’assistenza. Verifica se i DNS corrispondono: se vedi server sospetti (es. in Russia o domini ignoti), resetta tutto.

  4. Se usi DNS personalizzati: Annota quelli scelti (come Cloudflare 1.1.1.1 o Google 8.8.8.8) e ricontrolla periodicamente.

Altre azioni essenziali:

  • Cambia username e password del router in qualcosa di forte e unico.
  • Aggiorna il firmware dal sito del produttore e verifica la data di fine supporto (EOL).
  • Disabilita la gestione remota da internet.
  • Presta attenzione agli avvisi di certificati nei browser: indicano connessioni manomesse.

Per un futuro più sicuro, considera l’upgrade a router con Wi-Fi 7, che offre maggiore velocità e sicurezza.

Approfondimenti per utenti avanzati

Se sei a tuo agio con la tecnologia, vai oltre.

Tecnical deep dive
Il cuore dell’attacco è la manipolazione DNS via DHCP. Normalmente, il router riceve configurazioni dall’ISP via DHCP, inclusi i DNS. Gli hacker, sfruttando vulnerabilità come CVE note su TP-Link, iniettano DNS maliziosi: il traffico viene risolto tramite i loro server C2 (command & control).

Esempio tecnico: un router compromesso restituisce DNS russi invece di quelli italiani. Questo abilita:

  • Credential harvesting: cattura login da form HTTP/HTTPS.
  • Man-in-the-middle (MitM): intercetta SSL/TLS stripping o falsi certificati.
  • Traffic redirection: reindirizza a phishing site o proxy spia.

Lista parziale modelli TP-Link a rischio: WR841N, WR840N, Archer C50, e altri con firmware pre-2024. Usa tool come Shodan per scan reti esposte o Nmap per test locali: nmap -p 80,443 --script http-TP-Link-router-vuln <IP>.`

Per esperti, installa firmware open-source:

  • OpenWrt: supporto lungo termine, firewall avanzato, VPN integrata.
  • DD-WRT: ottimizzazioni performance, ma attenzione al brick risk.

Passi per installare OpenWrt:

  1. Backup config attuale.
  2. Scarica immagine compatibile dal sito ufficiale.
  3. Flash via web o TFTP.
  4. Configura VLAN, SQM per QoS, e DoT/DoH per DNS sicuro.

Rischio: invalida garanzia, possibile brick se errato. Testa su dispositivo sacrificabile.

In caso di sospetto compromesso (US citizens: report to FBI/IC3; in UE: contatta autorità competenti come CERT-PA in Italia), salva log e config DHCP.

Proteggiti: la privacy online inizia dal tuo router. Con queste mosse, riduci drasticamente i rischi e navighi sicuro.

Fonte: https://securityboulevard.com/2026/04/russian-hacking-group-targets-home-and-small-office-routers-to-spy-on-users/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto