Hackers russos comprometeram dezenas de milhares de roteadores domésticos e de pequenas empresas em todo o mundo desde o verão passado. O ataque cibernético, orquestrado pelos serviços de inteligência da Rússia, visa principalmente roubar credenciais e interceptar comunicações. O FBI lançou uma operação de remoção para combater os hackers.
Desde agosto de 2025, os piratas da gangue Urso chiquetambém conhecido como APT 28 ou Forest Blizzard, estão aumentando seus ataques contra roteadores em todo o mundo. Segundo pesquisadores do Black Lotus Labs, o pequeno grupo ataca principalmente roteadores MikroTik e TP-Link desatualizados, que não são atualizados há muito tempo. Para atingir seus objetivos, os hackers exploram vulnerabilidades na operação de roteadores antigos. De acordo com o FBI, os ataques cibernéticos contra roteadores “em fim de vida” estão aumentando em todo o mundo. Ativo desde pelo menos 2004, o Fancy Bear, conhecido pelo codinome APT28, é um grupo “falante de russo altamente sofisticado”explica a especialista Anastasia Tikhonova, do Grupo-IB. O “ataques a roteadores não são novidade para este grupo”sublinha o investigador. A turma do APT28 “tem um longo histórico de exploração de dispositivos vulneráveis em ambientes de pequenas empresas/escritórios domésticos (SOHO), incluindo roteadores Cisco (em 2021) e roteadores Ubiquiti Edge OS (em 2023), anteriormente usados para construir botnets espiões globais”.
Leia também: Alerta na Asus – uma botnet invadiu 14.000 roteadores
Milhares de roteadores hackeados em todo o mundo
Num comunicado de imprensa enviado à 01net, a Microsoft indica que descobriu que mais de 200 organizações e mais de 5.000 dispositivos de consumo caíram sob o controle dos cibercriminosos russos. Por sua vez, a Black Lotus fala de 18 mil vítimas espalhadas por 120 países diferentes. Esta é, portanto, uma operação em grande escala. Perguntado por TechCruncho Centro Nacional de Segurança Cibernética do Reino Unido fala de uma operação “provavelmente oportunista no início” que gradualmente se voltou a focar num punhado de alvos muito específicos, considerados interessantes pelos serviços de segurança Informação de Moscou. É por isso que os indivíduos podem ver-se envolvidos numa campanha de espionagem que visa países estrangeiros. Agências governamentais, autoridades policiais e provedores de e-mail estão entre os principais alvos. A Microsoft também destaca TI, telecomunicações e energia entre as vítimas identificadas.
O comprometimento de roteadores permite que hackers se coloquem entre o usuário e os serviços aos quais estão se conectando. Uma vez comprometido o roteador, os hackers modificam um parâmetro fundamental: o Sistema de nomes de domínio (DNS), o diretório invisível que traduz o nome de um site em um endereço de rede. Feito isso, os hackers russos podem levar as vítimas a sites falsos, projetados para roubar suas senhas e tokens de autenticação, esses códigos temporários usados para autenticação dupla.
“Esta abordagem permite que o ator ganhe visibilidade em ambientes maiores e mais seguros, sem ter que comprometer diretamente as redes corporativas”explica a Microsoft em uma postagem no blog, enfatizando que é “Esta é a primeira vez que a Forest Blizzard foi observada usando sequestro de DNS em grande escala”.
Esta é a porta aberta a todos os abusos. A autenticação dupla, muitas vezes apresentada como a defesa definitiva contra ataques cibernéticos, pode, portanto, ser contornada pela adulteração do DNS. As páginas falsas implantadas pelos hackers se parecem muito com os sites originais. Na verdade, a vítima não percebe nada. Os pesquisadores da Black Lotus também falam de um “ataque quase invisível”, que requer “sem interação do usuário”.
Leia também: Como saber se uma botnet invadiu seu smartphone, PC, TV ou caixa de Internet?
Uma operação desmantelada pelo FBI
Vários meses após a aceleração dos ataques cibernéticos, as autoridades americanas lançaram um grande contra-ataque. Neste 7 de abril, o FBI roteadores comprometidos neutralizados em solo americano, assumindo o controle da infraestrutura maliciosa dos hackers russos. Várias propriedades mantidas pela gangue foram apreendidas em um contra-ataque batizado de “Operação Máscara”. De acordo com o Departamento de Justiça dos Estados Unidos, os investigadores desenvolveram uma série de instruções destinadas a recuperar dados úteis e restaurar uma configuração saudável. Essas instruções foram enviadas aos roteadores infectados, salvando-os do Fancy Bear. As instruções também devem evitar que hackers recuperem o controle dos roteadores posteriormente. O Departamento de Justiça dos Estados Unidos fala de uma “ameaça grave e persistente” e um “agressão contínua”.
O FBI explica que existem vários sinais de que um roteador foi invadido por uma botnet. Se o seu roteador aquecer de forma anormal, a conexão ficar instável e for detectado tráfego anormal, ele pode ter sido comprometido. Em caso de dúvida, o FBI recomenda atualizar o firmware do roteador (se possível), alterar a senha e reiniciar o dispositivo. Se nenhuma atualização for oferecida, é hora deinvista em um novo roteador. Os pesquisadores da Black Lotus também aconselham a remoção “todos os equipamentos em fim de vida para redes pessoais e empresariais”. A mesma história acontece com as autoridades americanas, que pedem “agora cabe a todos os proprietários de roteadores protegê-lo, atualizar seu firmware e substituí-lo se necessário”.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.