ADS

Visualizzazione post con etichetta TP-Link. Mostra tutti i post
Visualizzazione post con etichetta TP-Link. Mostra tutti i post

domenica 12 aprile 2026

Attacco su larga scala a TP-Link

APT28 e il DNS Hijacking su SOHO Router: Analisi Tecnica dell'Advisory NCSC (Aprile 2026)

L'UK National Cyber Security Centre (NCSC) ha pubblicato il 7 aprile 2026 un advisory tecnico che espone in dettaglio come il gruppo russo APT28 stia compromettendo router SOHO su scala globale per dirottare il traffico DNS e condurre attacchi Adversary-in-the-Middle (AitM) [web:1][web:2]. La campagna — battezzata FrostArmada da Lumen's Black Lotus Labs e Operation Masquerade dall'FBI — ha prodotto effetti concreti: più di 200 organizzazioni e 5.000 dispositivi consumer compromessi in almeno 120 paesi [web:4].

Chi è APT28

APT28 — noto anche come Forest Blizzard, Fancy Bear, STRONTIUM, Sednit, Sofacy — è con altissima probabilità l'Unità Militare 26165 del GRU russo (85° Centro Principale di Servizi Speciali, GTsSS) [web:1]. Non è un gruppo di script kiddie: parliamo di una delle strutture di cyber-intelligence più capaci al mondo, già responsabile degli attacchi al Bundestag tedesco nel 2015 e del tentativo di compromissione dell'OPCW nel 2018 [web:1]. L'attività descritta in questo advisory ha avuto inizio in forma limitata intorno a maggio 2025, per poi esplodere in campagna massiva da agosto 2025, con un picco a dicembre 2025 di 18.000 IP unici [web:4].

La Kill Chain: Come Funziona l'Attacco

L'architettura dell'attacco è elegante nella sua semplicità operativa. APT28 non attacca direttamente le vittime di intelligence value: le trova per filtrazione progressiva partendo da una massa di router compromessi [web:11].

Fase 1 – Ricognizione opportunistica:

APT28 scansiona Internet alla ricerca di router SOHO esposti con vulnerabilità note. La selezione è volutamente indiscriminata: più router si compromettono, più è grande il "bacino" di traffico DNS da analizzare [web:11].

Fase 2 – Exploitation del router (CVE-2023-50224):

Il vettore principale documentato è CVE-2023-50224 (CVSS 6.5) sui router TP-Link WR841N [web:4]. La vulnerabilità è un authentication bypass che permette a un attaccante non autenticato di estrarre le credenziali del router tramite una HTTP GET request appositamente costruita:

GET /cgi-bin/[endpoint_specifico]?[parametri_crafted] HTTP/1.1
Host: [ip_router]

Con le credenziali in mano, una seconda GET request modifica i parametri DHCP/DNS del router:

  • DNS primario → IP sotto controllo APT28
  • DNS secondario → IP del DNS legittimo originale (per non destare sospetti)

In alcuni casi entrambi i DNS erano stati impostati su indirizzi malevoli, segno che il router era stato compromesso più volte da operatori diversi [web:1].

Fase 3 – Propagazione DHCP ai client downstream:

Una volta alterati i DNS del router, tutti i dispositivi della rete (laptop, smartphone, tablet) che ottengono configurazione via DHCP ereditano automaticamente i DNS malevoli. Zero interazione richiesta all'utente finale [web:4].

Fase 4 – DNS Selective Hijacking:

I server DNS malevoli — VPS configurati con dnsmasq 2.85 — operano con logica selettiva:

  • Richieste DNS per target di interesse (es. outlook.office365.com, imap-mail.outlook.com, autodiscover-s.outlook.com) → risolte con IP APT28 (AitM node)
  • Tutto il resto del traffico DNS → inoltrato regolarmente ai resolver legittimi

Questo comportamento selettivo riduce drasticamente il rumore anomalo sulla rete, rendendo l'attacco quasi invisibile a un'analisi superficiale del traffico [web:1][web:2].

Fase 5 – AitM e Credential Harvesting:

Il nodo AitM intercetta le connessioni TLS verso i servizi email/cloud spoofati. APT28 ruba [web:4]:

  • Password in chiaro (se la vittima non ha HSTS attivo o usa app non certificate-pinning)
  • OAuth token e refresh token
  • Cookie di sessione autenticati

Questa è la prima volta documentata in cui APT28 usa il DNS hijacking su scala per attaccare connessioni TLS dopo la compromissione di edge device [web:4].

I Due Cluster di Infrastruttura

Il NCSC ha identificato due distinti pattern di infrastruttura malevola [web:1:

Cluster 1 Cluster 2
Funzione DNS hijacking diretto + AitM DNS forwarding verso server remoti + operazioni interattive
Router target TP-Link (SOHO globali) MikroTik + TP-Link (focus Ucraina)
Banner SSH TCP/56777 TCP/35681
Servizio DNS dnsmasq-2.85 UDP/53 dnsmasq-2.85 UDP/53 (solo alcuni)
Obiettivo primario Credential harvesting massivo Targeting intelligence su obiettivi HVT specifici

Il Cluster 2 mostra un focus particolare su router MikroTik locati in Ucraina, con operazioni interattive che suggeriscono targeting ad alto valore intelligence (HVT) [web:1][web:4].

Router TP-Link Colpiti

La lista dei modelli TP-Link documentati nell'advisory include 23 modelli, tra cui [web:1:

  • WR841N / WR841ND / WR841HP
  • WR840N, WR842N, WR842ND, WR845N, WR941ND, WR945N
  • WR1043ND, WR1045ND
  • Archer C5, Archer C7
  • WDR3500, WDR3600, WDR4300
  • MR3420, MR6400 (router LTE)
  • WA801ND, WA901ND (access point)

⚠️ Nota bene per i sysadmin italiani: molti di questi modelli sono ancora in uso in reti SOHO e piccole PMI. Se li avete in produzione e non aggiornati, siete potenzialmente nel target.

Domìni Target per il Redirect AitM

I domini identificati come obiettivi primari di redirezione [web:1:

Dominio
autodiscover-s.outlook[.]com
imap-mail.outlook[.]com
outlook.live[.]com
outlook.office[.]com
outlook.office365[.]com

L'advisory precisa che sono stati rilevati redirect anche verso domini non-Outlook, relativi ad altri fornitori di servizi email e cloud, non divulgati nel documento pubblico [web:1].

MITRE ATT&CK Mapping

Le tecniche documentate coprono l'intera catena di Resource Development → Initial Access → Credential Access [web:1:

Tattica ID Tecnica
Resource Development T1583.002 Acquire Infrastructure: DNS Server
Resource Development T1583.003 Acquire Infrastructure: VPS
Resource Development T1584.008 Compromise Infrastructure: Network Devices
Resource Development T1588.006 Obtain Capabilities: Vulnerabilities
Initial Access T1190 Exploit Public-Facing Application
Credential Access T1557 Adversary-in-the-Middle
Resource Development T1586 Compromise Accounts

Indicatori di Compromissione (IoC)

VPS banner rilevabili:

  • SSH su TCP/56777 + dnsmasq-2.85 su UDP/53 (Cluster 1)
  • SSH su TCP/35681 + dnsmasq-2.85 su UDP/53 (Cluster 2)

Range IP malevoli documentati (parziale):
5.226.137[.]151-245, 37.221.64[.]77-254, 77.83.197[.]37-59, 79.141.160-173[.]x, 185.117.88-89[.]x, 185.237.166[.]55-249 [web:1]

Nota: Le parentesi quadre nei range IP seguono la defanging convention standard per IoC — rimuoverle prima di usarle in strumenti di threat intelligence.

Risposta Istituzionale: Operation Masquerade

Il Dipartimento di Giustizia USA ha condotto un'operazione court-authorized per smantellare la porzione statunitense della rete, in coordinamento con FBI, NSA e 20 agenzie partner internazionali [web:4][web:10]. L'infrastruttura è stata parzialmente disabilitata, ma — come sempre in questi scenari — APT28 ha la capacità di ricostruire l'infrastruttura rapidamente.

Mitigazioni: Cosa Fare Adesso

Le contromisure indicate dall'NCSC sono concrete e immediatamente applicabili [web:1][web:8:

  1. Aggiornare immediatamente il firmware di tutti i router TP-Link e MikroTik in produzione — CVE-2023-50224 ha patch disponibile
  2. Non esporre mai l'interfaccia di gestione del router su Internet — usare browse-down architecture
  3. Verificare periodicamente le impostazioni DNS/DHCP del router confrontandole con i valori attesi del proprio ISP
  4. Abilitare MFA/2FA su tutti gli account M365 e servizi cloud — anche se le credenziali vengono rubate, l'OAuth token da solo non basta se MFA è configurato correttamente
  5. Implementare DNS-over-HTTPS (DoH) o DNS-over-TLS (DoT) sui client, bypassando il resolver DHCP del router
  6. Monitorare il traffico DNS con soluzioni come NextDNS, Pi-hole + log analysis, o soluzioni SIEM per anomalie nei pattern di risoluzione
  7. Deploy HIDS sugli endpoint per rilevare comportamenti anomali post-compromissione

💡 Pro tip per chi usa NextDNS (come spesso nei setup avanzati): NextDNS con DoH hardcoded nei client bypassa completamente il DNS iniettato via DHCP dal router compromesso — è una difesa passiva molto efficace contro questo specifico vettore.

L'advisory NCSC rappresenta uno dei casi tecnici più ben documentati di supply chain DNS attack su scala nazionale-statale [web:2]. La lezione è brutalmente chiara: il router di casa o del piccolo ufficio, spesso ignorato per anni senza aggiornamenti, è diventato il punto d'ingresso preferito degli attori APT di livello GRU. Se non lo gestisci tu, lo gestisce qualcun altro.

NCSC_APT28-exploit-routers-to-enable-DNS-hijacking-operations.pdf https://share.google/b9hmwEyykCZQtgEJH

Analisi effettuata tramite AI Nemotron 3 Super

Pubblicato da alle Nessun commento:
Etichette: , , , ,