Un recente report di FireEye punta il dito contro un gruppo APT sponsorizzato dalla Cina per una serie di attacchi contro router domestici e da ufficio. L'obiettivo ultimo sono per ora imprese francesi; gli attaccanti si ricollegano a un gruppo di hacker noto con i nomi APT31, Zirconium, Panda e altri.

Si tratta di un gruppo storicamente specializzato in campagne di spionaggio rivolte a contro organizzazioni governative, finanziarie, aerospaziali e di difesa, nonché aziende nei settori della tecnologia, dell'edilizia, dell'ingegneria, delle telecomunicazioni, dei media e delle assicurazioni. Inoltre, secondo le accuse di USA, Europa e Gran Bretagna, APT31 è uno dei tre gruppi di sponsorizzati dal governo cinese che hanno preso parte alla recente ondata di attacchi ai danni dei server Microsoft Exchange.

Gli attacchi contro i router

La prima a dare l'allarme è stata ANSSI, l'Agenzia nazionale francese per la sicurezza dei sistemi informativi. In una nota ufficiale del 21 luglio ha allertato le aziende e le organizzazioni nazionali circa una massiccia campagna di attacco da parte del gruppo cinese, che compromette i router per usarli come sistema di offuscamento prima di effettuare ricognizioni e attacchi.
Sempre secondo ANSSI gli attacchi sono ancora in corso  e sono "particolarmente violenti". L'advisory contiene Indicatori di Compromissione che le potenziali vittime possono utilizzare per capire se i propri router sono stati prese di mira. Gli indicatori includono 161 indirizzi IP ospitati in diversi Paesi, fra cui Russia, Egitto, Marocco, Thailandia ed Emirati Arabi Uniti. Nessuno degli indirizzi è in Europa occidentale.

Difficile isolare gli attacchi

Qualche informazione aggiuntiva sui router compromessi arriva da altri esperti di sicurezza. Will Thomas dell'azienda di cyber security Cyjax segnala che alcuni dei router compromessi probabilmente saranno stati violati anche da altri attaccanti in passato, o simultaneamente all'attacco in corso. Questa non è una buona notizia perché crea confusione e non permette di identificare con certezza quali dispositivi sono legati alla campagna di APT31.

Non è tutto. L'analista di Microsoft Ben Koehl ha fornito

https://twitter.com/bkMSFT/status/1417824175679545345

">tramite Twitter un contesto aggiuntivo che riguarda Zirconium, da anni legato ad APT31. Secondo Koehl quello che si sta verificando non è un inedito. I criminali informatici hanno utilizzato per anni i router domestici e dei piccoli uffici per attivare botnet atte a scatenare attacchi DoS, comunicare con i server C2, reindirizzare gli utenti a siti malevoli e funzionare da proxy per eseguire attacchi brute force, sfruttare vulnerabilità, scansionare porte ed esfiltrare i dati da obiettivi compromessi.

È una tecnica vincente perché consente agli attaccanti la flessibilità necessaria per mascherare la provenienza del traffico e rallentare gli sforzi di chi conduce le indagini. Un esempio illuminante è quello del 2018, quando i ricercatori di Cisco Talos scoprirono VPNFilter, un malware legato agli APT russi che aveva infettato più di 500.000 router allo scopo di usarli per una vasta gamma di scopi nefasti.
L'unica azione difensiva che le potenziali vittime possono attuare è quella di riavviare periodicamente i dispositivi. È banale ma efficace perché la maggior parte del malware per router non è in grado di sopravvivere a un riavvio.

È inoltre consigliato disattivare l'amministrazione remota (a meno che non sia realmente necessaria), personalizzare username e password e installare sempre gli aggiornamenti del firmware non appena vengono pubblicati.