Notícias

Grupo de hackers russo tem como alvo roteadores domésticos e de pequenos escritórios para espionar usuários

por Pieter Arntz | 8 de abril de 2026
painel frontal de um roteador

Autoridades de segurança britânicas descobriram que um grupo ligado às forças armadas russas está espionando usuários de roteadores SOHO (Small Office/Home Office) comprometidos, no âmbito de uma ampla campanha de espionagem cibernética. Um blog da Microsoft aborda os detalhes técnicos desses ataques.

O grupo, ao qual nos referiremos como APT28, mas que também é conhecido por nomes como Fancy Bear, BlueDelta e Forest Blizzard, altera as configurações de DNS dos roteadores comprometidos para que seu tráfego seja redirecionado para servidores sob seu controle, o que permite ao APT28 espionar os usuários.

O Sistema de Nomes de Domínio (DNS) é o mecanismo pelo qual os nomes de domínio da Internet são localizados e convertidos em endereços de Protocolo de Internet (IP). Os dispositivos geralmente obtêm as configurações de rede dos roteadores por meio do Protocolo de Configuração Dinâmica de Host (DHCP).

Se um invasor conseguir alterar as configurações de DNS do roteador, ele poderá redirecionar o tráfego de forma silenciosa para uma infraestrutura sob seu controle, coletar dados de login e, em alguns casos, posicionar-se entre o usuário e o serviço real. É por isso que a campanha pode facilitar o roubo de credenciais e até mesmo a interceptação direcionada do tráfego do Microsoft 365 e de outros serviços em nuvem.

Um comunicado de utilidade pública do FBI afirma que o APT28:

“…obteve senhas, tokens de autenticação e informações confidenciais, incluindo e-mails e dados de navegação na web, normalmente protegidos por criptografia SSL (Secure Socket Layer) e TLS (Transport Layer Security).”

O FBI afirma que o grupo lançou uma ampla rede nos Estados Unidos e em todo o mundo, antes de restringir suas vítimas àquelas com acesso a informações relacionadas às forças armadas, ao governo e a infraestruturas críticas.

O comunicado do NCSC destaca um único modelo da TP-Link (WR841N) com uma vulnerabilidade conhecida que permite que um invasor não autenticado obtenha informações como nomes de usuário e senhas por meio de solicitações HTTP GET especialmente criadas. Esse modelo de roteador é amplamente vendido a consumidores e pequenas empresas e não costuma ser utilizado como equipamento padrão pelos principais provedores de serviços de internet. O artigo também inclui uma lista extensa, mas não exaustiva, de outros modelos de roteadores TP-Link visados pelo APT28.

O Microsoft Threat Intelligence afirma ter identificado mais de 200 organizações e 5.000 dispositivos de consumidores afetados pela infraestrutura DNS maliciosa do Forest Blizzard.

O debate sobre a proibição dos roteadores

Há algumas semanas, comentamos sobre a decisão da FCC de impedir efetivamente a importação de roteadores fabricados no exterior, a menos que seus fabricantes obtenham uma isenção, devido ao quea FCC chamou de“risco inaceitável para a segurança nacional dos Estados Unidos ou para a segurança e proteção dos cidadãos americanos”.

As ações do APT28 mostram o tipo de risco que a FCC está tentando impedir, mas também reforçam nosso argumento: embora o debate sobre a proibição de roteadores e as restrições à cadeia de suprimentos muitas vezes se concentre na origem nacional, a questão mais importante é se os dispositivos são seguros na prática. Se um roteador vem com configurações padrão fracas, suporte de atualização deficiente ou um processo de configuração confuso, ele se torna um alvo independentemente de onde foi fabricado. Os invasores não precisam de perfeição. Eles precisam apenas de dispositivos expostos suficientes para construir uma infraestrutura grande e discreta para espionagem e redirecionamento.

O que você pode fazer

Para verificar se suas configurações estão corretas, só podemos dar orientações gerais, pois elas às vezes dependem muito do tipo de dispositivo. Mas este método geralmente funciona:

Como verificar se as configurações de DHCP do seu roteador correspondem às especificações do seu provedor de internet:

  1. Verifique as informações atuais de DHCP do seu dispositivo.
    Em um computador ou celular conectado à sua rede doméstica, abra os detalhes da rede e anote o endereço IP, a máscara de sub-rede, o gateway padrão e os servidores DNS que o seu dispositivo está utilizando.
  2. Faça login no seu roteador e acesse as configurações de WAN/Internet.
    Na interface web do roteador, consulte a página “Status” ou “Internet” para verificar qual endereço foi atribuído pelo provedor de internet e quais servidores DNS estão configurados para uso.
  3. Compare com o que está documentado ou com o que seu provedor de internet (ISP) informa.
    Verifique as páginas de suporte do seu ISP ou entre em contato com o suporte para confirmar quais são as especificações: se sua conexão deve usar DHCP ou PPPoE, em que intervalo deve estar seu IP público e quais servidores DNS eles normalmente fornecem. Discrepâncias significativas (por exemplo, servidores DNS em um país diferente ou de uma organização desconhecida) são motivo para uma investigação mais aprofundada.
  4. Se você usar um DNS personalizado, documente isso.
    Se você usar deliberadamente um DNS alternativo (por exemplo, um resolvedor voltado para privacidade ou segurança), anote isso e verifique periodicamente se o roteador e os clientes ainda estão usando os endereços que você escolheu.

Outras medidas

Se você tiver condições financeiras e ainda não o fez, atualize parao Wi-Fi 7para garantir que sua configuração esteja preparada para o futuro, enquanto os modelos atuais ainda estão disponíveis nas lojas.

Você deve, no mínimo:

  • Altere os nomes de usuário e senhas padrão do seu roteador para algo mais difícil de adivinhar.
  • Consulte o site do fabricante para obter atualizações, confirme a data de fim de vida útil (EOL) e atualize para as versões mais recentes do firmware.
  • Desative as interfaces de gerenciamento remoto pela Internet sempre que possível.
  • Todos os usuários devem prestar atenção aos avisos de certificado exibidos nos navegadores da web e nos clientes de e-mail, pois eles indicam que há algum problema com a conexão segura e podem significar que você não está acessando o site legítimo.

Para usuários com conhecimentos técnicos, substituir o firmware do fabricante por alternativas de código aberto, comoo OpenWrtouo DD-WRT, pode prolongar a vida útil segura do roteador. No entanto, isso acarreta riscos, incluindo a perda da garantia ou a possibilidade de o dispositivo ficar inutilizado. Você só deve fazer isso, ou solicitar que seja feito, se tiver experiência em resolver problemas técnicos.

Se um cidadão norte-americano suspeitar que foi alvo ou vítima de uma invasãocibernéticarussa, deve comunicar a atividade aoescritório local do FBIou registrar uma denúncia junto aoIC3. Certifique-se de fornecer detalhes sobre o roteador afetado, incluindo o tipo de dispositivo e as configurações de DHCP.

Navegue como se ninguém estivesse olhando. 

VPN Malwarebytes Privacy VPN sua conexão e nunca registra o que você faz, para que a próxima notícia que você ler não pareça algo pessoal.Experimente gratuitamente → 

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
Logotipo do JDownloader

Os invasores substituíram os downloads do instalador do JDownloader por malware

Maio 15, 2026

O site do JDownloader foi invadido e os links para download do instalador distribuíram malware durante vários dias.

IA
Instagram entre o WhatsApp e Instagram

A nova e confusa abordagem da Meta em relação à privacidade no chat

Maio 15, 2026

O WhatsApp agora oferece conversas com IA que desaparecem, e a Meta afirma que não consegue lê-las. Já Instagram remover o recurso que impedia a Meta de ler suas mensagens.

Privacy
Logotipo do Yahoo Mail

Por que Malwarebytes alguns redirecionamentos do Yahoo Mail

Maio 14, 2026

Alguns usuários do Yahoo Mail podem receber Malwarebytes repetidos Malwarebytes devido a conexões em segundo plano com domínios de terceiros suspeitos. Veja o motivo.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes