Hacker russi sfruttano router obsoleti per rubare token di autenticazione Microsoft Office

Attacco su larga scala sfrutta router vulnerabili

Un gruppo di hacker legati all'intelligence militare russa sta conducendo una massiccia campagna di spionaggio utilizzando vulnerabilità note in router Internet obsoleti. Secondo gli esperti di sicurezza, gli attaccanti sono riusciti a sottrarre token di autenticazione di Microsoft Office da oltre 18.000 reti senza installare alcun malware. La tecnica, definita "old-school" dagli analisti, sfrutta vulnerabilità DNS per reindirizzare le richieste degli utenti verso server controllati dagli attaccanti.

Microsoft ha confermato che la campagna ha coinvolto oltre 200 organizzazioni e 5.000 dispositivi consumer. Il gruppo responsabile, noto come Forest Blizzard (anche chiamato APT28 o Fancy Bear), è attribuito alla direzione principale dell'intelligence militare russa (GRU). Questo stesso gruppo è stato già coinvolto in attacchi ad alto profilo, come il compromesso della campagna elettorale di Hillary Clinton e del Comitato Nazionale Democratico nel 2016.

Come funziona l'attacco

I ricercatori di Black Lotus Labs, divisione di sicurezza di Lumen Technologies, hanno scoperto che gli attaccanti hanno sfruttato router obsoleti, principalmente modelli Mikrotik e TP-Link destinati al mercato SOHO (Small Office/Home Office). Invece di installare malware, gli hacker hanno modificato le impostazioni DNS dei dispositivi per reindirizzare le richieste degli utenti verso server controllati da loro.

Ryan English, ingegnere della sicurezza di Black Lotus Labs, ha spiegato:

«Tutti cercano malware sofisticati per compromettere dispositivi mobili o altri sistemi, ma questi attaccanti hanno usato un metodo old-school, poco appariscente ma estremamente efficace».

Una volta compromessi i router, gli attaccanti hanno potuto propagare le impostazioni DNS malevole a tutti gli utenti della rete locale. Da quel momento in poi, sono stati in grado di intercettare i token di autenticazione OAuth trasmessi dagli utenti, anche dopo il login e l'autenticazione a più fattori.

Obiettivi e impatto

Secondo il rapporto di Lumen, gli obiettivi principali della campagna sono stati agenzie governative, tra cui ministeri degli affari esteri, forze dell'ordine e fornitori di servizi email di terze parti. Il metodo utilizzato non richiedeva l'installazione di software malevolo sui dispositivi delle vittime, rendendo l'attacco particolarmente silenzioso e difficile da rilevare.

Il National Cyber Security Centre (NCSC) del Regno Unito ha pubblicato un avviso ufficiale in cui dettaglia come gli attori cyber russi abbiano compromesso router per condurre attacchi di tipo DNS hijacking. Questa tecnica permette agli attaccanti di reindirizzare gli utenti verso siti web malevoli, progettati per rubare credenziali di accesso o altre informazioni sensibili.

Perché questo attacco è pericoloso

• Intercettazione di token OAuth: Gli attaccanti possono accedere direttamente agli account delle vittime senza dover rubare credenziali o codici di autenticazione a più fattori.
• Diffusione silenziosa: L'attacco si propaga automaticamente a tutti gli utenti della rete locale compromessa, senza bisogno di interazione da parte delle vittime.
• Target mirati: Le agenzie governative e i fornitori di servizi email sono obiettivi ad alto valore per gli attaccanti.

Cosa possono fare le organizzazioni per proteggersi

Gli esperti consigliano di adottare misure di sicurezza proattive per prevenire attacchi di questo tipo:

• Aggiornare regolarmente i router e altri dispositivi di rete con le ultime patch di sicurezza.
• Monitorare le impostazioni DNS per rilevare eventuali modifiche non autorizzate.
• Implementare soluzioni di sicurezza avanzate per rilevare e bloccare attacchi di tipo DNS hijacking.
• Formare il personale sulle minacce informatiche e sulle best practice per la sicurezza dei dispositivi di rete.

La campagna di spionaggio condotta da Forest Blizzard rappresenta un ulteriore esempio di come gli attaccanti sfruttino vulnerabilità note e tecniche semplici per compromettere sistemi critici. Nonostante l'assenza di malware sofisticato, l'attacco ha avuto un impatto significativo, sottolineando l'importanza di una solida postura di sicurezza informatica.