L’Ufficio federale tedesco per la protezione della Costituzione ha avvertito che gli hacker legati allo stato russo hanno sfruttato le vulnerabilità dei router TP-Link per accedere a reti sensibili. L’allarme è stato lanciato in collaborazione con il Federal Intelligence Service e il Federal Bureau of Investigation.
Il gruppo di hacker APT28, noto anche come Fancy Bear, è attribuito all’agenzia di intelligence militare russa, il GRU. Da diversi anni i governi occidentali accusano APT28 di svolgere attività di spionaggio informatico.
Le autorità hanno riferito che migliaia di router sono stati presi di mira a livello globale, di cui circa 30 in Germania. Nei casi confermati di violazioni, alcuni operatori hanno sostituito i dispositivi interessati. La campagna informatica si è concentrata principalmente sulle reti militari, governative e delle infrastrutture critiche. Il BfV ha indicato che l’APT28 ha già attaccato diverse istituzioni tedesche, tra cui il parlamento e il partito politico SPD.
Nel 2024, il Dipartimento della Difesa degli Stati Uniti ha emesso un avviso riguardante gli attori informatici russi che utilizzano router compromessi per operazioni informatiche, specificando l’85° Centro servizi speciali principale del GRU, noto come APT28 o Forest Blizzard.
L’avviso affermava che gli attacchi hanno consentito agli hacker di rubare credenziali, raccogliere hash NTLMv2, instradare il traffico di rete e ospitare pagine di phishing e strumenti di hacking.
Con una mossa correlata, la Federal Communications Commission ha annunciato il divieto di nuovi router di fabbricazione estera negli Stati Uniti. Le configurazioni Internet domestiche esistenti rimangono inalterate, poiché il divieto si applica solo ai nuovi dispositivi, con i fornitori autorizzati a chiedere esenzioni.
