È stato pubblicato un nuovo Joint Cybersecurity Advisory, pubblicato dalla National Security Agency insieme a un ampio gruppo di agenzie partner, dalla Cybersecurity and Infrastructure Security Agency al Federal Bureau of Investigation, dal National Cyber Security Centre britannico all’Anssi francese. Nel documento figurano anche le agenzie italiane di intelligence, Aisi e Aise, tra gli organismi che co-siglano l’avviso. Il titolo recita: Improve Router Hygiene to Protect Against Russian State-Sponsored Targeting. La Nsa spiega che l’obiettivo è mettere in guardia i proprietari di dispositivi e i difensori di rete contro le attività di attori russi sponsorizzati dallo Stato, in particolare contro reti infrastrutturali critiche.Secondo l’advisory, gli attori del Centro 16 dell’Fsb continuano a sfruttare dispositivi di rete vulnerabili o configurati in modo inadeguato in tutto il mondo, compromettendo in maniera opportunistica reti appartenenti a diversi settori critici. Tra quelli più esposti vengono indicati comunicazioni, base industriale della difesa, energia, servizi finanziari, strutture governative, sanità e salute pubblica.La tecnica descritta è la seguente: gli operatori russi effettuano scansioni per individuare indirizzi Internet con agenti Snmp attivi, soprattutto quando accettano stringhe di comunità comuni o predefinite per l’autenticazione. Da lì possono impartire istruzioni ai dispositivi mal configurati per copiare file di configurazione e trasferirli verso server controllati dagli attori o già compromessi. In alcuni casi, l’advisory segnala anche lo sfruttamento di vulnerabilità note nei dispositivi Cisco, della funzione Cisco Smart Install e di portali web per la gestione degli apparati di rete.In termini meno tecnici, il rischio è che un router diventi la porta d’ingresso per leggere configurazioni, recuperare credenziali, osservare la rete e preparare ulteriori movimenti. Non è necessariamente un attacco immediatamente distruttivo. Può essere intelligence, preparazione, accesso persistente. È questo che rende il dossier sensibile per governi, aziende della difesa, operatori energetici e infrastrutture pubbliche.L’advisory costruisce anche un ponte con l’allerta pubblicata dal Fbi nell’agosto 2025. In quel caso il Bureau aveva avvertito che attori attribuiti al Centro 16 dell’Fsb stavano sfruttando il protocollo Simple Network Management Protocol e dispositivi di rete a fine vita, inclusi apparati Cisco vulnerabili, per colpire infrastrutture critiche negli Stati Uniti e a livello globale. Secondo l’Fbi, gli attori avevano raccolto file di configurazione da migliaia di dispositivi associati a entità statunitensi nei settori critici.Il documento congiunto cita anche le denominazioni usate dall’industria cyber per tracciare attività sovrapposte o correlate: Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard, Static Tundra. Le agenzie precisano che le attribuzioni del settore privato non coincidono sempre in modo perfetto con quelle governative, ma il quadro resta coerente: una lunga attività russa contro reti occidentali e infrastrutture rilevanti.La parte più utile dell’avviso, per imprese e amministrazioni, è quella sulle misure di mitigazione. Le agenzie raccomandano di adottare Snmpv3, disabilitando le versioni precedenti del protocollo, di usare password forti e uniche, di disattivare Cisco Smart Install, di bloccare ai firewall i protocolli Tftp, Smi e Snmp quando non indispensabili, e di aggiornare software e firmware dei dispositivi di rete per correggere vulnerabilità note. Misure che ricordano quanto la sicurezza delle infrastrutture critiche, spesso, cominci dall’eliminazione delle configurazioni lasciate indietro.La firma è congiunta, condivisa: Stati Uniti, Regno Unito, Canada, Australia, Nuova Zelanda e diversi partner europei, inclusa l’Italia, rilasciano insieme un documento che non si limita a descrivere una vulnerabilità, ma attribuisce un comportamento a un apparato russo. Il Centro 16 dell’Fsb viene presentato come una struttura impegnata da oltre un decennio in attività cyber contro reti governative e infrastrutture. L’avviso arriva peraltro nello stesso contesto in cui Unione europea e Regno Unito hanno aumentato la pressione su reti russe accusate di operazioni cyber e ibride contro governi e infrastrutture europee.