Video correlati:
Il Dipartimento di Giustizia degli Stati Uniti e l'FBI hanno eseguito ieri un' operazione tecnica autorizzata dalla corte per smantellare una rete di router domestici compromessi dall'intelligence militare russa in oltre 23 stati del paese, in quello che le autorità hanno battezzato come Operazione Masquerade.
L'azione ha neutralizzato l'infrastruttura di spionaggio della Unidad Militar 26165 del Directorio de Inteligencia Principal del Estado Mayor ruso (GRU), nota anche come APT28, Fancy Bear o Forest Blizzard, la cui campagna era attiva da almeno il 2024 sul territorio degli Stati Uniti.
Dal quel anno, gli agenti del GRU hanno sfruttato vulnerabilità conosciute in migliaia di router della marca TP-Link installati in abitazioni e piccole uffici per manipolare la loro configurazione DNS —il sistema che traduce i nomi di dominio in indirizzi numerici— e reindirizzare le richieste degli utenti verso server sotto controllo russo.
L'attacco si svolgeva in due fasi: prima compromettevano in modo massiccio e indiscriminato il maggior numero possibile di dispositivi; poi applicavano filtri automatici per identificare le connessioni di interesse e attivare l'intercettazione attiva su obiettivi selezionati. Per questi obiettivi, i server del GRU impersonavano servizi legittimi come Microsoft Outlook Web Access per catturare password, token di autenticazione e email senza che le vittime se ne accorgessero.
Microsoft, che ha collaborato con l'FBI, ha identificato oltre 200 organizzazioni e 5.000 dispositivi coinvolti. Black Lotus Labs di Lumen Technologies ha rilevato vittime negli Stati Uniti, in Europa, Afghanistan, Nord Africa, Centro America e nel sud-est asiatico, con un focus su agenzie governative, ministeri degli esteri e organismi di sicurezza.
La operazione è stata guidata dalla FBI di Boston, con il supporto dell'ufficio di Filadelfia, della Divisione Cibernetica e dell'Ufficio del Procuratore del Distretto Est della Pennsylvania, dove sono stati declassificati i documenti giudiziari. L'azione ha inoltre coinvolto partner in 15 paesi; il Centro Nazionale di Cyber Sicurezza del Regno Unito e della Germania hanno emesso avvisi coordinati lo stesso giorno.
L'FBI ha sviluppato una serie di comandi inviati direttamente ai router compromessi per raccogliere prove, ripristinare la configurazione DNS legittima e bloccare l'accesso non autorizzato del GRU, senza influire sul normale funzionamento dei dispositivi né raccogliere contenuti degli utenti. I proprietari possono annullare le modifiche in qualsiasi momento effettuando un ripristino di fabbrica.
Archiviato in: