Gli hacker russi tornano alla carica, secondo quanto dichiarano i governi statunitense e britannico. Il nome del gruppo di cybercriminali è APT28 (noto anche con il nome di Fancy Bear) e sarebbe sostenuto direttamente dal governo di Mosca.
La vulnerabilità risale a sei anni fa e riguarda i router Cisco. Sfruttandola, gli hacker possono controllare i dispositivi a distanza, senza aver bisogno di nome utente e password grazie al protocollo SNMP (Simple Network Management Protocol), lo stesso sfruttato dagli amministratori di rete. Successivamente, viene creata una backdoor che permette ai malintenzionati di accedervi.
Cisco ha già rilasciato nel 2017 una patch che eliminava la vulnerabilità, ma i router non ancora aggiornati sono in pericolo di violazione. L’avviso arriva in modo congiunto dall'agenzia statunitense per la sicurezza informatica CISA e l'FBI, insieme all'NSA e al National Cyber Security Center del Regno Unito.
I router senza patch possono quindi essere infettati dal malware “Jaguar Tooth” (dente di giaguaro) e se ne possedete uno conviene controllare immediatamente se ha ricevuto o meno l’aggiornamento. La vicenda si aggrava quando si prende in considerazione l’attacco subito da circa 250 cittadini ucraini e, sebbene l’Italia non sia nella stessa posizione in rapporto alla Russia, resta il fatto che il territorio europeo non può considerarsi al 100% sicuro.
La situazione merita attenzione, come ben descrivono le parole del direttore dell'intelligence sulle minacce di Cisco Talos, Matt Olney, sul blog della compagnia: “Cisco è profondamente preoccupata per l'aumento del tasso di attacchi sempre più sofisticati alle infrastrutture di rete, confermati da numerosi rapporti pubblicati da varie organizzazioni di intelligence”.
Si tratta quindi di attacchi di un certo spessore che vedono il nascere grazie al sostegno governativo e richiedono un'attenta indagine da parte dei servizi segreti.