Riavvia il router, subito! La raccomandazione firmata NSA e FBI
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 11/04/2026, 10:03
- Pubblicato: 11/04/2026, 09:56
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Spegnere e riaccendere il router. Un consiglio che sembra provenire dall'operatore del call center prima ancora di capire il problema. Eppure stavolta a darlo è la National Security Agency (NSA) degli Stati Uniti, affiancata dall'FBI e da una serie di partner internazionali. L'avviso è legato a un'operazione giudiziaria concreta contro una rete di router domestici compromessi dall'intelligence militare russa. Il messaggio della NSA è sintetizzato in uno slogan che non lascia margini: «Don't be a victim!».
APT28 e il dirottamento dei router domestici
Gli attori della minaccia sono stati identificati come affiliati al GRU, il principale servizio di intelligence militare russo. La comunità di sicurezza informatica li conosce con vari nomi: APT28, Fancy Bear, Forest Blizzard.
La campagna di hacking/cracking ha preso di mira dispositivi di rete di fascia consumer - i router SOHO (small-office/home-office) - sfruttando vulnerabilità software già note. L'advisory cita esplicitamente la CVE-2023-50224, una falla che colpisce dispositivi TP-Link.
» Leggi anche: Falle critiche nei router TP-Link Archer NX: firmware modificabile senza autenticazione, indispensabile aggiornare subito
La tecnica d'attacco è tanto elegante quanto insidiosa: DNS hijacking. Gli aggressori alterano le impostazioni DNS del router compromesso per reindirizzare il traffico verso server malevoli. L'utente crede di visitare un sito legittimo - l'advisory menziona pagine che imitavano Microsoft Outlook Web Access - mentre sta consegnando credenziali, email e token di autenticazione direttamente agli attaccanti. La tecnica è classificata come intercettazione adversary-in-the-middle (AitM) e permette di catturare anche traffico cifrato, aggirando protezioni che l'utente medio considera più che sufficienti.
I router compromessi non erano l'obiettivo finale, ma il trampolino: punti d'appoggio distribuiti sul territorio statunitense e oltre, utili per colpire enti governativi, strutture militari, infrastrutture critiche. Il router di casa diventava così un nodo inconsapevole di un'operazione di spionaggio su scala internazionale.
L'operazione dell'FBI e del Dipartimento di Giustizia
Il 7 aprile il Dipartimento di Giustizia e l'FBI hanno annunciato un'operazione autorizzata da un tribunale per smantellare la rete di router SOHO compromessi dal GRU. Non un semplice avviso, dunque, ma un'interruzione attiva dell'infrastruttura usata dagli aggressori - azione legale e controffensiva tecnica insieme.
L'operazione si inserisce in un quadro più ampio: già a marzo 2026 l'FBI aveva emesso un avviso separato sui router Wi-Fi compromessi, e CISA - l'agenzia federale per la sicurezza informatica - ha indicato i router privi di aggiornamenti tra le vulnerabilità più significative nelle reti domestiche.
I ricercatori di sicurezza osservano da tempo un aumento delle botnet che prendono di mira router casalinghi, sfruttando password predefinite e firmware obsoleti.
Cosa fare adesso (sul serio)
Le raccomandazioni della NSA ai consumatori sono poche e nette:
- Riavviare il router immediatamente. Il riavvio cancella eventuale malware residente nella memoria volatile del dispositivo e interrompe le connessioni persistenti su cui si basa l'attacco
- Aggiornare il firmware. Molti router hanno aggiornamenti scaricati ma non ancora applicati: un riavvio può innescare l'installazione
- Cambiare le password predefinite. Se il pannello di amministrazione è ancora accessibile con le credenziali di fabbrica, il dispositivo è un bersaglio facile.
- Limitare l'accesso amministrativo, disabilitando la gestione remota se non strettamente necessaria
- Disconnettere i dispositivi inutilizzati dalla rete
Nessuna di queste azioni richiede competenze avanzate. La maggior parte si completa in pochi minuti. Ed è proprio questo il punto scomodo: la sproporzione tra la semplicità della contromisura e la gravità della minaccia rende difficile trovare scuse per non agire.
Il router come anello trascurato
C'è un problema strutturale che il settore della sicurezza informatica denuncia da anni e che questa vicenda torna a mettere in primo piano. Il router è il dispositivo più critico della rete domestica - tutto il traffico passa da lì - eppure è anche quello che riceve meno attenzioni. Non ha un'interfaccia amichevole che ricorda di aggiornarlo. Non manda notifiche. Resta nell'angolo, acceso per mesi o anni, con il firmware della prima accensione e la password stampata sull'etichetta sul retro.
Per gruppi come APT28 è un invito a nozze. I dispositivi SOHO rappresentano una superficie d'attacco enorme, distribuita capillarmente e quasi mai monitorata. Quando un'agenzia come la NSA si prende la briga di pubblicare un avviso rivolto direttamente ai consumatori - e non agli addetti ai lavori - significa che il problema ha raggiunto una scala che non è più possibile ignorare.
Chi ha un router a casa, e ne abbiamo praticamente tutti, farebbe bene a dedicargli cinque minuti oggi. Cinque minuti ben spesi.
Fonti: nsa.gov, 5gstore.com, newsweek.com, executivegov.com
