ULTIMA ORA
Loading...
EduNews24
Fancy Bear colpisce ancora: hacker russi violano migliaia di router in 120 paesi
Tecnologia

Fancy Bear colpisce ancora: hacker russi violano migliaia di router in 120 paesi

Disponibile in formato audio

L'operazione attribuita al gruppo legato al Cremlino ha compromesso almeno 18.000 dispositivi. Microsoft conferma: oltre 200 organizzazioni coinvolte. L'allarme arriva da Londra e dai laboratori di Black Lotus Labs

Migliaia di router, quei dispositivi che teniamo accesi ventiquattr'ore su ventiquattro nelle nostre case e nei nostri uffici senza quasi pensarci, sono stati trasformati in porte d'ingresso spalancate per i servizi di intelligence russi. L'allarme, lanciato nelle ultime ore dal governo britannico e dai ricercatori di Black Lotus Labs, il braccio di analisi delle minacce di Lumen Technologies, descrive un'operazione di spionaggio informatico su scala globale, capillare e sofisticata.

L'attacco: cosa è successo

Stando a quanto emerge dalle prime ricostruzioni, un gruppo di hacker riconducibile al governo russo è riuscito a violare e assumere il pieno controllo di migliaia di router, sia domestici che aziendali, distribuiti in tutto il mondo. Non si tratta di un attacco casuale o opportunistico. L'obiettivo era chirurgico: sottrarre password, credenziali di accesso e dati sensibili che transitano attraverso questi dispositivi.

I router compromessi sono stati di fatto trasformati in strumenti di sorveglianza, capaci di intercettare il traffico dati senza che gli utenti ne avessero la minima percezione. Un meccanismo silenzioso, efficace, che secondo gli esperti potrebbe essere rimasto attivo per mesi prima di essere individuato.

Fancy Bear: chi c'è dietro l'operazione

L'attribuzione non lascia molto spazio ai dubbi, almeno secondo le fonti di intelligence occidentali. L'operazione porta la firma di Fancy Bear, noto anche con la sigla tecnica APT28, uno dei gruppi di hacking più prolifici e pericolosi al mondo. Legato a doppio filo con il GRU, il servizio di intelligence militare russo, Fancy Bear è lo stesso collettivo già responsabile dell'attacco al Comitato Nazionale Democratico statunitense nel 2016 e di numerose campagne di spionaggio contro istituzioni europee.

Il gruppo opera con risorse ingenti e competenze di altissimo livello, il che rende le sue campagne particolarmente difficili da rilevare e contenere. Non siamo di fronte a criminali comuni in cerca di un riscatto, ma a un'operazione che si inserisce nel più ampio quadro della guerra ibrida condotta dal Cremlino sul fronte digitale. Uno scenario che ricorda, per metodologia e ambizione, anche altre campagne recenti in cui attori malevoli sfruttano la tecnologia per colpire utenti ignari, come nel caso della truffa multimilionaria in Europa e Canada basata sui deepfake.

I numeri della violazione

La portata dell'attacco è impressionante. Le stime parlano di almeno 18.000 dispositivi compromessi, distribuiti in 120 paesi. Una geografia dell'attacco che attraversa tutti i continenti, dall'Europa al Nordamerica, dall'Asia al Medio Oriente, colpendo indistintamente utenti privati, piccole imprese e grandi organizzazioni.

Sono numeri che fanno riflettere, soprattutto perché rappresentano con tutta probabilità solo la punta dell'iceberg. Le indagini sono ancora in corso, e non è escluso che il perimetro delle vittime possa ampliarsi nelle prossime settimane.

Router vulnerabili: la falla nei dispositivi non aggiornati

Il punto debole sfruttato dagli hacker è tanto banale quanto diffuso: firmware non aggiornati. I router colpiti presentavano vulnerabilità note, per le quali in molti casi esistevano già le patch correttive rilasciate dai produttori. Patch che, semplicemente, non erano mai state installate.

È un problema strutturale che gli esperti di cybersicurezza denunciano da anni. A differenza di computer e smartphone, per i quali gli aggiornamenti sono ormai quasi automatici, i router restano spesso dimenticati. Una volta configurati, vengono lasciati funzionare per anni senza alcun intervento di manutenzione. Per i gruppi come Fancy Bear, si tratta di un invito a nozze.

La situazione è aggravata dal fatto che molti modelli economici, particolarmente diffusi nelle abitazioni private e nelle piccole aziende, non ricevono più supporto software dai produttori dopo pochi anni dall'immissione sul mercato. Diventano, di fatto, porte aperte permanenti.

Anche in ambito europeo la questione della sicurezza digitale sta assumendo un peso sempre maggiore nel dibattito istituzionale, come dimostra il confronto in corso sulle implicazioni del Digital Market Act per le aziende tecnologiche, un terreno su cui regolamentazione e sicurezza si intrecciano in modo sempre più stretto.

Le conferme di Microsoft e la portata aziendale

Microsoft ha confermato in modo indipendente la gravità dell'operazione, rivelando che oltre 200 organizzazioni sono state compromesse. Tra queste figurerebbero enti governativi, aziende del settore energetico, realtà attive nella difesa e nella logistica. Il colosso di Redmond, che monitora le attività di Fancy Bear attraverso il proprio team di threat intelligence, ha definito la campagna una delle più estese tra quelle attribuite al gruppo negli ultimi anni.

La compromissione dei router aziendali è particolarmente insidiosa. Attraverso un singolo dispositivo violato, gli attaccanti possono potenzialmente accedere all'intera rete interna di un'organizzazione, muoversi lateralmente tra i sistemi e raccogliere informazioni per settimane o mesi. Un tipo di minaccia che si affianca ad altre forme di attacco sempre più sofisticate, come quelle che sfruttano il nome di figure pubbliche per ingannare gli utenti e sottrarre dati personali.

Come proteggersi: cosa fare subito

Gli esperti di Black Lotus Labs e le autorità britanniche hanno diffuso una serie di raccomandazioni urgenti. Ecco le principali:

  • Aggiornare immediatamente il firmware del proprio router, verificando sul sito del produttore la disponibilità di patch recenti
  • Cambiare le credenziali di accesso al pannello di amministrazione del dispositivo, abbandonando le password predefinite di fabbrica
  • Disattivare la gestione remota del router se non strettamente necessaria
  • Riavviare periodicamente il dispositivo, operazione che in alcuni casi può interrompere malware attivi in memoria
  • Sostituire i router obsoleti che non ricevono più aggiornamenti di sicurezza dal produttore

Per le aziende, il consiglio è più stringente: implementare sistemi di monitoraggio del traffico di rete, segmentare le reti interne e sottoporre i dispositivi perimetrali a verifiche di sicurezza regolari.

La vicenda Fancy Bear, ancora una volta, mette a nudo una verità scomoda. La sicurezza informatica non è un problema che riguarda solo i grandi sistemi o le infrastrutture critiche. Passa anche, e soprattutto, da quel piccolo dispositivo con le lucine lampeggianti che abbiamo appoggiato su una mensola e che non aggiorniamo dal giorno in cui l'abbiamo comprato.

Pubblicato il: 8 aprile 2026 alle ore 15:41

Domande frequenti

Chi è Fancy Bear e perché è considerato pericoloso?

Fancy Bear, noto anche come APT28, è un gruppo di hacker legato al servizio di intelligence militare russo GRU. È considerato uno dei collettivi più prolifici e sofisticati al mondo, responsabile di numerose operazioni di spionaggio contro istituzioni e aziende a livello globale.

Quali sono stati i principali obiettivi dell’attacco ai router?

Gli hacker hanno mirato a sottrarre password, credenziali di accesso e dati sensibili transitati attraverso router domestici e aziendali. L'attacco aveva l’obiettivo di trasformare questi dispositivi in strumenti di sorveglianza, spesso senza che gli utenti se ne accorgessero.

Come è stato possibile compromettere così tanti router?

L’attacco ha sfruttato la presenza di firmware non aggiornati nei router, vulnerabilità per le quali esistevano patch che non erano state installate dagli utenti. Questo problema è diffuso perché spesso i router non vengono aggiornati regolarmente come altri dispositivi elettronici.

Quali sono le raccomandazioni per proteggere il proprio router?

Gli esperti consigliano di aggiornare subito il firmware, cambiare le password di default, disattivare la gestione remota se non necessaria, riavviare periodicamente il dispositivo e sostituire i router obsoleti che non ricevono più aggiornamenti di sicurezza.

Qual è stata la portata dell’attacco e chi sono le vittime principali?

Sono stati compromessi almeno 18.000 router in 120 paesi, colpendo sia utenti privati che aziende, incluse oltre 200 organizzazioni tra enti governativi, aziende energetiche e della difesa. Le indagini sono ancora in corso e il numero delle vittime potrebbe aumentare.

Savino Grimaldi

Articolo creato da

Savino Grimaldi

Giornalista Pubblicista Savino Grimaldi è un giornalista laureando in Economia e Commercio, con una solida esperienza maturata nel settore della formazione. Da anni lavora con competenza nell’ambito della formazione professionale, distinguendosi per una conoscenza approfondita delle politiche attive del lavoro e delle dinamiche che legano istruzione, occupazione e sviluppo delle competenze. Alla preparazione economica e professionale affianca una grande passione per la lettura e per il giornalismo, che ne arricchiscono il profilo umano e culturale. Spazia con disinvoltura tra diverse tematiche, offrendo sempre il proprio punto di vista con equilibrio, sensibilità e spirito critico.

Articoli Correlati

ULTIMA ORA