Attacco DNS hijacking: FBI neutralizza FrostArmada
Topic
Approfondimenti
Trending
tutti

Attacco DNS hijacking: FBI neutralizza FrostArmada

L'FBI ha inviato comandi a numerosi router negli USA per resettare le impostazioni DNS e scollegarli dalla rete gestita dai cybercriminali russi.
Attacco DNS hijacking: FBI neutralizza FrostArmada
Sicurezza
L'FBI ha inviato comandi a numerosi router negli USA per resettare le impostazioni DNS e scollegarli dalla rete gestita dai cybercriminali russi.
Google AI Studio

Il National Cyber Security Centre (NCSC) del Regno Unito aveva rilevato la minaccia ad agosto 2025. Ieri il Dipartimento di Giustizia degli Stati Uniti ha neutralizzato una porzione della rete formata da numerosi router compromessi. Gli attacchi DNS hijacking, parte della campagna FrostArmada, sono stati effettuati da un noto gruppo di cybercriminali russi. Al successo dell’operazione hanno contribuito Microsoft e Lumen Technologies.

Furto di credenziali Microsoft con DNS hijacking

Gli attacchi sono iniziati nel 2024, quando il gruppo APT28 (noto anche come Forest Blizzard e Fancy Bear) ha sfruttato le vulnerabilità di router SOHO, principalmente quelli di TP-Link, per ottenere accesso remoto come amministratore. I cybercriminali hanno quindi modificato le impostazioni DNS per dirottare il traffico verso VPS (Virtual Private Server) sotto il loro controllo che funzionavano come DNS resolver.

Quando gli utenti aprivano la pagina di login dell’account Microsoft, il traffico veniva reindirizzato ad un servizio proxy gestito dai cybercriminali e sfruttato per gli attacchi AitM (Adversary-in-th-Middle). Le ignare vittime vedevano quindi pagine di login simili a quelle legittime. L’unico segnale di pericolo era l’avviso di certificato TLS scaduto, ma poteva essere ignorato.

La tecnica ha permesso il furto di credenziali e token di autenticazione, ovvero il controllo totale degli account Microsoft. Dopo aver ottenuto l’autorizzazione dal giudice, gli esperti dell’FBI hanno inviato comandi ai router compromessi per rilevare i nuovi DNS e resettato le impostazioni, scollegando i dispositivi dalla rete FrostArmada.

L’intervento dell’FBI riguarda unicamente i router TP-Link usati negli Stati Uniti. Secondo Microsoft, gli attacchi hanno interessato almeno 200 aziende e 5.000 utenti privati. Lumen Technologies ha rilevato oltre 18.000 dispositivi infettati in 120 paesi. Gli utenti devono installare l’ultimo firmware rilasciato dal produttore e sostituire i router non più supportati.

A fine marzo, la FCC ha vietato importazione e vendita di router prodotti in paesi stranieri, in quanto le vulnerabilità possono essere sfruttare le spiare i cittadini statunitensi. Tra i router più pericolosi ci sono proprio quelli di TP-Link.

Fonte: U.S. Department of Justice

Pubblicato il 8 apr 2026

Link copiato negli appunti

Ti potrebbe interessare

Ban VPN in Russia blocca app bancarie e Pavel Durov ride

Ban VPN in Russia blocca app bancarie e Pavel Durov ride
Claude Mythos: nuovo potente modello di Anthropic

Claude Mythos: nuovo potente modello di Anthropic
Il tuo router è vulnerabile? Attacco in corso da un gruppo russo

Il tuo router è vulnerabile? Attacco in corso da un gruppo russo
AI e cybersecurity: Project Glasswing trova le falle e scrive gli exploit

AI e cybersecurity: Project Glasswing trova le falle e scrive gli exploit
Ban VPN in Russia blocca app bancarie e Pavel Durov ride

Ban VPN in Russia blocca app bancarie e Pavel Durov ride
Claude Mythos: nuovo potente modello di Anthropic

Claude Mythos: nuovo potente modello di Anthropic
Il tuo router è vulnerabile? Attacco in corso da un gruppo russo

Il tuo router è vulnerabile? Attacco in corso da un gruppo russo
AI e cybersecurity: Project Glasswing trova le falle e scrive gli exploit

AI e cybersecurity: Project Glasswing trova le falle e scrive gli exploit
Luca Colantuoni
Pubblicato il
8 apr 2026
Link copiato negli appunti