Russia hacker router DNS ruba token Microsoft Office

Gli hacker legati ai servizi di intelligence militare russi stanno sfruttando vulnerabilità note di router datati per rubare su larga scala i token di autenticazione di Microsoft Office. Lo hanno denunciato oggi esperti di sicurezza, spiegando che la campagna di spionaggio ha permesso agli hacker di intercettare token da oltre 18.000 reti senza installare alcun malware.

Microsoft ha dichiarato in un post di aver identificato più di 200 organizzazioni e 5.000 dispositivi consumer coinvolti nella rete di spionaggio, costruita da un gruppo noto come Forest Blizzard (anche conosciuto come APT28 o Fancy Bear), attribuito alle unità di intelligence militare del GRU russo. Lo stesso gruppo che nel 2016 compromise la campagna di Hillary Clinton e il Comitato Nazionale Democratico.

I ricercatori di Black Lotus Labs, divisione sicurezza di Lumen, hanno scoperto che al picco dell’attività, nel dicembre 2025, Forest Blizzard aveva compromesso oltre 18.000 router Internet, in gran parte dispositivi fuori supporto o molto indietro con gli aggiornamenti di sicurezza. I bersagli principali: ministeri degli esteri, forze dell’ordine e provider email di terze parti.

Secondo Ryan English, ingegnere della sicurezza di Black Lotus, gli hacker del GRU non hanno installato malware sui router (per lo più Mikrotik e TP-Link per uffici domestici e piccoli studi). Hanno invece usato vulnerabilità note per modificare le impostazioni DNS dei router, facendole puntare a server DNS sotto il loro controllo.

In un attacco di DNS hijacking, gli intrusi interferiscono con il normale processo di traduzione degli indirizzi web, reindirizzando gli utenti verso siti fasulli progettati per rubare credenziali. Nel caso di Forest Blizzard, una volta modificati i DNS, gli hacker potevano intercettare qualsiasi token OAuth trasmesso sulla rete locale. Dato che questi token vengono scambiati solo dopo un login riuscito (con multi-factor authentication già superata), gli attaccanti ottenevano accesso diretto agli account senza dover rubare password o codici monouso.

“Tutti cercano malware sofisticato da installare su dispositivi mobili”, ha commentato English. “Questi ragazzi non hanno usato malware. Hanno fatto tutto all’antica, in modo poco appariscente ma efficace.”

Microsoft definisce l’attività di Forest Blizzard come un uso di DNS hijacking “per supportare attacchi adversary-in-the-middle su connessioni TLS verso i domini di Outlook sul web”. L’azienda sottolinea che, sebbene colpire dispositivi SOHO non sia una novità, è la prima volta che vede Forest Blizzard usare DNS hijacking su larga scala per attacchi AiTM su TLS dopo aver compromesso dispositivi di rete.

Danny Adamitis di Black Lotus Labs ha notato che il gruppo ha già cambiato tattica in risposta a un rapporto del NCSC dell’agosto 2025. Prima usavano malware su un numero ridotto di router; il giorno dopo il rapporto hanno abbandonato il malware e iniziato a modificare i DNS su migliaia di dispositivi vulnerabili. “Prima del rapporto usavano questa capacità in modo limitato”, ha detto Adamitis. “Dopo il rapporto l’hanno implementata in modo sistematico e hanno colpito tutto ciò che era vulnerabile.”

Sullo sfondo, la questione della provenienza dei router. Il 23 marzo la FCC americana ha annunciato che non certificherà più router consumer prodotti fuori dagli Stati Uniti, definendo i router stranieri una minaccia per la sicurezza nazionale. Gli esperti però fanno notare che la nuova politica lascerebbe pochi modelli disponibili (forse solo i router Starlink di Musk). I produttori possono richiedere approvazioni condizionate dai dipartimenti della Guerra o della Sicurezza interna, e la norma non si applica ai router già acquistati.