Notizie (IT)

Una task force globale smantella la rete informatica nascosta che ha violato più di 369.000 router

Di Maria 14 marzo 2026 7 min de leitura
WhatsApp Twitter Facebook Segui su Google E-mail
Roteador
Foto: Roteador - Mike_shots/shutterstock.coms

Un’azione congiunta che ha coinvolto diverse agenzie di sicurezza in tutto il mondo è culminata nella distruzione di una vasta infrastruttura digitale utilizzata per mascherare attività illecite su Internet. L’intervento della polizia ha disattivato un sistema complesso che aveva preso il controllo di centinaia di migliaia di dispositivi di connessione internet appartenenti a utenze domestiche e di piccoli uffici. I criminali hanno utilizzato questa rete parallela per effettuare invasioni bancarie, frodi nei sistemi di criptovaluta e appropriazione indebita di fondi governativi, generando ingenti perdite per l’economia globale.

Le indagini hanno rivelato che il sistema operava sotto le spoglie di un servizio proxy a pagamento, offrendo l’anonimato assoluto agli autori malintenzionati che desideravano coprire le proprie tracce online. Il sistema reindirizzava il traffico dati attraverso dispositivi infetti, facendo sembrare che le azioni criminali provenissero da normali abitazioni ed eludendo i sistemi di rilevamento delle frodi.

La portata dell’operazione riflette la gravità della minaccia neutralizzata, che ha colpito i cittadini su scala internazionale e ha spostato milioni di dollari in programmi di estorsione, furto di credenziali e intercettazione di dati riservati.

Dettagli delle infrastrutture criminali e dei servizi illeciti

La mappatura tecnica della rete smantellata ha mostrato la compromissione di oltre 369.000 dispositivi, sparsi in 163 paesi, formando una delle più grandi reti di anonimizzazione illegale mai registrate dalle autorità. La piattaforma funzionava come un vero e proprio mercato clandestino, in cui i malintenzionati affittavano temporaneamente l’accesso agli indirizzi IP delle vittime. Il modello di business criminale di Esse ha trasformato apparecchiature legittime in strumenti di attacco all’insaputa dei proprietari, che hanno continuato a pagare normalmente per i loro servizi Internet mentre il traffico illecito scorreva in background.

La varietà dei crimini facilitati da questa struttura ha impressionato gli investigatori e gli esperti di sicurezza informatica coinvolti nella task force. Entre le principali attività rilevate sono:

– Ataques di ransomware che prendono di mira aziende e ospedali, chiedendo pagamenti milionari per il rilascio di sistemi dirottati.

– Sobrecarga di server governativi e privati ​​attraverso attacchi di negazione del servizio distribuiti, mettendo offline i servizi essenziali per la popolazione.

– Distribuição materiali di grandi dimensioni contenenti abusi e sfruttamento, sfruttando l’anonimato garantito dalla rete proxy.

– Submissão massa di moduli fraudolenti per riscossione impropria di prestazioni sociali e di assicurazione contro la disoccupazione.

La sofisticatezza del servizio includeva un pannello di controllo intuitivo per i clienti della rete criminale, che consentiva loro di scegliere posizioni geografiche specifiche per instradare il traffico dannoso. La funzionalità Essa è stata fondamentale per aggirare i blocchi regionali e i sistemi di prevenzione delle frodi implementati dagli istituti finanziari. Simulando l’accesso da un indirizzo residenziale attendibile, gli aggressori sono riusciti a aggirare le tradizionali difese delle banche e degli intermediari di asset digitali, provocando gravi perdite finanziarie per le vittime dirette dei furti e per le istituzioni che dovevano rimborsare le somme sottratte.

Meccanismi di infezione nelle apparecchiature domestiche

La proliferazione di codici dannosi è dipesa dallo sfruttamento sistematico delle vulnerabilità presenti nei router di piccoli uffici e abitazioni. Muitos di questi dispositivi vengono installati dai provider Internet o dagli utenti stessi con password predefinite in fabbrica, che vengono modificate raramente durante la vita utile dell’apparecchiatura.

Gli operatori di rete hanno automatizzato il processo di scansione di Internet alla ricerca di questi dispositivi non protetti, iniettando malware avanzati in grado di prendere il controllo del sistema operativo del router. Una volta installato, il software dannoso stabiliva una connessione silenziosa con i server di comando dei criminali, in attesa di istruzioni per reindirizzare i pacchetti di dati.

Impatto finanziario e obiettivi prioritari della rete

I documenti diffusi dalle agenzie di giustizia indicano che il movimento finanziario legato ai crimini commessi attraverso questa infrastruttura ha superato la soglia del milione di dollari. I danni non si sono limitati al furto diretto di conti bancari, ma hanno compreso anche i costi di ripristino dei sistemi aziendali paralizzati dall’estorsione digitale.

Leia Tambem
Colby Minifie conferma i poteri di Ashley Barrett nella quinta stagione di The Boys

Colby Minifie conferma i poteri di Ashley Barrett nella quinta stagione di The Boys

Samsung rilascia un nuovo aggiornamento di sistema con nuove funzionalità per gli utenti Galaxy Watch 4

Samsung rilascia un nuovo aggiornamento di sistema con nuove funzionalità per gli utenti Galaxy Watch 4

L’adattatore wireless CarPlay di Amazon ha uno sconto del 50% e un elevato indice di approvazione da parte degli automobilisti

L’adattatore wireless CarPlay di Amazon ha uno sconto del 50% e un elevato indice di approvazione da parte degli automobilisti

L’analisi del traffico ha rivelato una significativa concentrazione di vittime nei paesi di lingua inglese, con più della metà delle apparecchiature infette situate in Estados Unidos e Reino Unido. La distribuzione geografica Essa non è stata casuale, poiché gli indirizzi IP di queste regioni hanno un’alta reputazione nei sistemi di sicurezza, facilitando l’approvazione di transazioni fraudolente.

I documenti storici indicano che il seme di questa organizzazione criminale è emerso nei forum clandestini in lingua russa più di dieci anni fa, evolvendosi da un piccolo servizio di noleggio di computer infetti in un impero globale di router dirottati.

Il passaggio all’attenzione ai dispositivi di rete è avvenuto a causa della natura ininterrotta di queste apparecchiature, che garantiscono ai clienti dei servizi illegali una disponibilità molto maggiore rispetto ai personal computer, che di solito vengono spenti quotidianamente.

Coordinamento tra agenzie e settore tecnologico

Il successo dell’intervento ha richiesto un livello senza precedenti di condivisione dell’intelligence tra le forze di polizia di più continenti e le società private specializzate nel monitoraggio delle minacce informatiche. L’identificazione dei server centrali che gestivano la rete di router zombie ha richiesto mesi di reverse engineering del codice dannoso e di analisi dei flussi di dati presso i grandi fornitori di telecomunicazioni.

Esperti del settore privato hanno fornito la telemetria necessaria alle autorità per comprendere la topologia della rete criminale, mappando i nodi di comunicazione e i pannelli amministrativi nascosti nel dark web. Essa la parceria público-privada provou ser o único caminho viavel para enfrentar organizzazioni che operano in forma decentrata, utilizzando infrastrutture espalhadas por jurisdições com leis de internet divergentes e complexas.

Procedure tecniche di neutralizzazione del sistema

La fase finale dell’operazione consisteva in una manovra tecnica coordinata per interrompere la comunicazione tra i router infetti e i server di comando dei criminali. Le autorità hanno eseguito mandati di perquisizione e sequestro simultanei in data center situati in paesi strategici, confiscando le apparecchiature fisiche che ospitavano il database della piattaforma illegale. Imediatamente dopo il sequestro il dominio principale utilizzato per la vendita del servizio proxy è stato sequestrato dalle agenzie di sicurezza e il suo contenuto è stato sostituito da un avviso di confisca ufficiale. La tattica di intervento diretto di Essa non solo interrompe il flusso finanziario dell’organizzazione, ma distrugge anche la fiducia tra gli operatori del sistema e i loro clienti digitali sotterranei. Simultaneamente sono stati inviati comandi di disattivazione per neutralizzare il malware sui dispositivi delle vittime, liberando centinaia di migliaia di connessioni residenziali dal controllo criminale senza causare interruzioni nella legittima fornitura Internet agli utenti interessati.

Misure di tutela per utenti e aziende

Per mitigare i rischi associati al dirottamento delle apparecchiature di rete è necessario un atteggiamento proattivo da parte dei consumatori e degli amministratori delle infrastrutture. La sostituzione immediata delle credenziali di accesso standard con password complesse, combinata con l’aggiornamento periodico del firmware fornito dal produttore, costituisce la difesa più efficace contro le scansioni automatizzate delle infezioni.

Il panorama attuale delle minacce digitali

L’eliminazione di questa specifica infrastruttura rappresenta un duro colpo alla logistica del crimine informatico globale, riducendo drasticamente la fornitura di indirizzi IP residenziali per attacchi mimetizzati. Tuttavia, l’ecosistema delle frodi digitali ha una rapida capacità di adattamento e rigenerazione strutturale.

I gruppi rivali spesso cercano di assorbire la quota di mercato lasciata dalle attività smantellate, sviluppando nuovi malware focalizzati sui dispositivi Internet, come telecamere di sicurezza e termostati intelligenti, che soffrono anche di aggiornamenti di sicurezza scadenti.

Il monitoraggio costante del traffico globale e il mantenimento di canali aperti di cooperazione internazionale rimangono le strategie fondamentali per identificare e neutralizzare le prossime generazioni di reti criminali prima che raggiungano proporzioni critiche nel World Wide Web.