Allarme internazionale per gli attacchi russi ai router Cisco: come rimediare

Le principali agenzie di cybersicurezza di nove Paesi (tra cui l’Italia con AISE e AISI) hanno lanciato un nuovo allarme sull’attività di un gruppo di hacker riconducibile ai servizi di intelligence russi, accusato di utilizzare router Cisco vulnerabili come punto d’ingresso per compromettere reti appartenenti a infrastrutture critiche. Il documento, pubblicato congiuntamente da NSA, FBI e CISA insieme alle autorità competenti di Australia, Regno Unito, Canada, Nuova Zelanda, Estonia, Finlandia, Francia e Italia, descrive una campagna di compromissione particolarmente insidiosa che sfrutta errori di configurazione e tecnologie ormai considerate obsolete.
Secondo l’analisi condivisa dalle agenzie, gli attacchi vengono attribuiti al Centro 16 dell’FSB, il Servizio federale per la sicurezza della Federazione Russa. Il gruppo è noto nel settore con numerosi nomi, tra cui Berserk Bear, Energetic Bear, Dragonfly, Ghost Blizzard, Crouching Yeti e Static Tundra, una conseguenza del fatto che nel tempo diverse società di sicurezza hanno monitorato la stessa organizzazione utilizzando sistemi di classificazione differenti.
L’elemento che rende questa campagna particolarmente efficace è la scelta dell’obiettivo iniziale. Invece di puntare direttamente ai server o ai computer aziendali, gli aggressori cercano infatti router connessi a Internet configurati in modo non sicuro. Attraverso scansioni automatiche dell’intero spazio di indirizzi IP pubblici, individuano dispositivi che utilizzano ancora le stringhe di autenticazione predefinite o password deboli del protocollo SNMP, il sistema impiegato per monitorare e amministrare apparati di rete come router, switch e firewall.
Una volta individuato un dispositivo vulnerabile, gli attaccanti sfruttano indirizzi IP contraffatti per impartire comandi al router e copiarne la configurazione. I file vengono quindi trasferiti verso server sotto il loro controllo utilizzando il protocollo TFTP, una soluzione estremamente semplice e priva di meccanismi di cifratura che, proprio per la sua leggerezza, continua a essere presente in numerosi ambienti di rete nonostante sia ormai considerata inadeguata sotto il profilo della sicurezza.
L’accesso alla configurazione di un router può offrire informazioni estremamente preziose. Oltre a rivelare la topologia della rete, può contenere indirizzi IP interni, dettagli sulle VLAN, credenziali di autenticazione, regole di instradamento e altri elementi che facilitano movimenti laterali all’interno dell’infrastruttura bersaglio. In pratica, il router diventa la porta d’accesso per pianificare operazioni di spionaggio o preparare compromissioni più estese.
Le autorità ricordano inoltre che il gruppo non si limita a sfruttare configurazioni errate. Già nell’agosto del 2025 l’FBI aveva segnalato l’utilizzo sistematico della vulnerabilità CVE-2018-0171, una falla critica nella funzionalità Smart Install presente nei sistemi operativi Cisco IOS e Cisco IOS XE. Sebbene il problema sia stato corretto da anni, numerose organizzazioni continuano a utilizzare apparati non aggiornati oppure mantengono attiva la funzione Smart Install anche quando non è necessaria, aumentando notevolmente la superficie d’attacco.
I settori considerati maggiormente esposti comprendono energia, telecomunicazioni, sanità, servizi finanziari, industria della difesa, pubbliche amministrazioni centrali e locali e operatori delle infrastrutture strategiche. Si tratta di organizzazioni nelle quali un’intrusione può avere conseguenze ben più gravi della semplice sottrazione di dati, arrivando potenzialmente a compromettere la continuità operativa di servizi essenziali.
Le indicazioni diffuse dalle agenzie di cybersicurezza puntano soprattutto a eliminare vulnerabilità note e cattive pratiche ancora sorprendentemente diffuse. Tra le raccomandazioni figura l’adozione di SNMPv3, versione del protocollo che introduce autenticazione avanzata e crittografia, sostituendo le implementazioni precedenti molto più facili da compromettere.
Viene inoltre consigliato di disabilitare completamente Cisco Smart Install quando non strettamente necessario, utilizzare password robuste e univoche per ogni apparato di rete, bloccare il traffico SNMP e TFTP proveniente dall’esterno mediante firewall perimetrali e mantenere costantemente aggiornati firmware e sistemi operativi dei dispositivi di rete. Le organizzazioni che impiegano hardware non più supportato dai produttori vengono invitate a pianificarne la sostituzione nel più breve tempo possibile.
L’avviso internazionale arriva a pochi mesi da un’altra importante operazione coordinata contro una diversa campagna attribuita ad APT28, gruppo collegato all’intelligence militare russa GRU e conosciuto anche come Fancy Bear o Forest Blizzard. In quel caso gli investigatori avevano individuato una botnet denominata FrostArmada, che entro la fine del 2025 aveva compromesso circa 18.000 router distribuiti in 120 Paesi.
L’obiettivo dell’operazione era differente ma altrettanto pericoloso. Gli attaccanti modificavano le impostazioni DNS di router MikroTik e TP-Link destinati a piccoli uffici e abitazioni, reindirizzando il traffico di autenticazione verso server controllati dal gruppo criminale. In questo modo riuscivano a intercettare credenziali Microsoft 365 e token OAuth, ottenendo un accesso persistente agli account delle vittime senza dover compromettere direttamente i loro computer.
Con l’autorizzazione di un tribunale statunitense e il supporto del Dipartimento di Giustizia americano, del governo polacco e di numerose aziende specializzate nella sicurezza informatica, l’FBI è riuscita a intervenire da remoto sui router compromessi, eliminando le configurazioni DNS malevole e ripristinando l’utilizzo di resolver legittimi. L’episodio dimostra come i dispositivi di rete continuino a rappresentare uno dei bersagli preferiti delle operazioni di cyber-spionaggio e perché la loro corretta configurazione sia oggi una componente essenziale delle strategie di difesa delle infrastrutture critiche.
Da sottolineare infine che in queste ore il Regno Unito e l’Unione Europea hanno formalmente attribuito al Centro 16 anche la responsabilità di un attacco informatico fallito de dicembre 2025 contro la rete energetica polacca. I funzionari britannici hanno affermato che l’operazione avrebbe potuto causare un’interruzione dell’erogazione di energia elettrica a circa 500.000 persone durante l’inverno.
(Immagine in apertura: Shutterstock)

