Zeus Router TP-Link compromessi in tutto il mondo: così gli hacker russi sottraggono le credenziali
Un gruppo di hacker legati al governo russo starebbe attaccando e compromettendo migliaia di router domestici e di piccoli uffici in tutto il mondo, reindirizzando il traffico Internet delle vittime per sottrarre password e token di accesso. L'operazione, attribuita al gruppo APT28 (noto anche come Fancy Bear), è stata confermata dai ricercatori di sicurezza britannici del NCSC e dai Black Lotus Labs.
L'attacco sfrutta vulnerabilità note in router MikroTik e TP-Link, molti dei quali non aggiornati o con firmware obsoleto. Una delle falle più sfruttate è la CVE 2023 50224, che consente a un aggressore non autenticato di ottenere informazioni sensibili tramite richieste HTTP manipolate. Milioni di dispositivi non hanno mai ricevuto la patch, rendendoli un bersaglio ideale. Il metodo principale utilizzato è il DNS hijacking: modificando le impostazioni DNS del router, gli hacker reindirizzano le richieste degli utenti verso server controllati dall'infrastruttura russa. Le vittime vengono così indirizzate a pagine di login falsificate, identiche a quelle reali, dove inseriscono inconsapevolmente le proprie credenziali.
Leggi l'articolo originale su ZEUS News - https://www.zeusnews.it/n.php?c=31974
