Notícias

Grupo de hackers russo tem como alvo routers domésticos e de pequenos escritórios para espionar os utilizadores

por Pieter Arntz | 8 de abril de 2026
painel frontal de um router

Autoridades de segurança britânicas descobriram que um grupo ligado às forças armadas russas está a espionar utilizadores de routers SOHO (Small Office/Home Office) comprometidos, no âmbito de uma ampla campanha de ciberespionagem. Um blogue da Microsoft aborda os detalhes técnicos destes ataques.

O grupo, ao qual nos referiremos como APT28, mas que também é conhecido por nomes como Fancy Bear, BlueDelta e Forest Blizzard, altera as configurações de DNS dos routers comprometidos para que o tráfego destes seja encaminhado através de servidores sob o seu controlo, o que permite ao APT28 espionar os utilizadores.

O Sistema de Nomes de Domínio (DNS) é o mecanismo através do qual os nomes de domínio da Internet são localizados e convertidos em endereços IP (Internet Protocol). Os dispositivos obtêm normalmente as configurações de rede dos routers através do Protocolo de Configuração Dinâmica de Hosts (DHCP).

Se um atacante conseguir alterar as configurações de DNS do router, poderá redirecionar o tráfego de forma silenciosa para uma infraestrutura que controle, recolher dados de início de sessão e, em alguns casos, posicionar-se entre o utilizador e o serviço real. É por isso que a campanha pode facilitar o roubo de credenciais e até mesmo a interceção direcionada do tráfego do Microsoft 365 e de outros serviços na nuvem.

Um comunicado de serviço público do FBI afirma que o APT28:

«…obteve palavras-passe, tokens de autenticação e informações confidenciais, incluindo e-mails e dados de navegação na Internet, normalmente protegidos por encriptação SSL (Secure Socket Layer) e TLS (Transport Layer Security).»

O FBI afirma que o grupo lançou uma ampla rede nos EUA e a nível mundial, antes de restringir as suas vítimas àquelas com acesso a informações relacionadas com as forças armadas, o governo e infraestruturas críticas.

O aviso do NCSC destaca um único modelo da TP-Link (WR841N) com uma vulnerabilidade conhecida que permite a um atacante não autenticado obter informações como nomes de utilizador e palavras-passe através de pedidos HTTP GET especialmente criados para o efeito. Este modelo de router é amplamente vendido a consumidores e pequenas empresas e não é normalmente utilizado como equipamento padrão pelos principais fornecedores de serviços de Internet. O artigo inclui também uma lista extensa, mas não exaustiva, de outros modelos de routers TP-Link visados pelo APT28.

A Microsoft Threat Intelligence afirma ter identificado mais de 200 organizações e 5 000 dispositivos de consumidores afetados pela infraestrutura DNS maliciosa da Forest Blizzard.

O debate sobre a proibição dos routers

Há algumas semanas, comentámos a decisão da FCC de impedir efetivamente a importação de routers fabricados no estrangeiro, a menos que os seus fabricantes obtenham uma isenção, devido ao quea FCC designou comoum «risco inaceitável para a segurança nacional dos Estados Unidos ou para a segurança e proteção dos cidadãos norte-americanos».

As ações do APT28 mostram o tipo de risco que a FCC está a tentar impedir, mas também reforçam o nosso argumento: embora o debate sobre a proibição de routers e as restrições à cadeia de abastecimento se centre frequentemente na origem nacional, a questão mais importante é se os dispositivos são seguros na prática. Se um router for comercializado com predefinições fracas, suporte de atualização deficiente ou um processo de configuração confuso, torna-se um alvo independentemente do local onde foi fabricado. Os atacantes não precisam de perfeição. Precisam apenas de dispositivos expostos suficientes para construir uma infraestrutura grande e discreta para espionagem e redirecionamento.

O que pode fazer

Para verificar se as suas configurações estão corretas, só podemos dar orientações gerais, uma vez que, por vezes, estas dependem muito do dispositivo específico. Mas este método costuma funcionar:

Como verificar se as definições DHCP do seu router correspondem às definidas pelo seu fornecedor de serviços de Internet:

  1. Verifique as informações DHCP atuais num dispositivo.
    Num computador ou telemóvel ligado à sua rede doméstica, abra os detalhes da rede e anote o endereço IP, a máscara de sub-rede, o gateway predefinido e os servidores DNS que o seu dispositivo está a utilizar.
  2. Inicie sessão no seu router e aceda às definições de WAN/Internet.
    Na interface web do router, consulte a página «Status» ou «Internet» para verificar qual o endereço que recebeu do ISP e quais os servidores DNS que está configurado para utilizar.
  3. Compare com o que o seu ISP indica nos seus documentos ou lhe comunica.
    Consulte as páginas de suporte do seu ISP ou contacte o serviço de apoio para confirmar quais são as suas especificações: se a sua ligação deve utilizar DHCP ou PPPoE, qual o intervalo de IPs públicos a que o seu IP deve pertencer e quais os servidores DNS que normalmente fornecem. Discrepâncias significativas (por exemplo, servidores DNS num país diferente ou pertencentes a uma organização desconhecida) constituem motivo para uma investigação mais aprofundada.
  4. Se utilizar um DNS personalizado, registe essa informação.
    Se utilizar deliberadamente um DNS alternativo (por exemplo, um servidor de resolução que proteja a privacidade ou a segurança), anote essa informação e verifique periodicamente se o seu router e os seus clientes continuam a utilizar os endereços que escolheu.

Outras medidas

Se tiver condições financeiras para tal e ainda não o fez, atualize parao Wi-Fi 7para garantir que o seu equipamento esteja preparado para o futuro, enquanto os modelos atuais ainda estão disponíveis nas lojas.

Deve, pelo menos:

  • Altere os nomes de utilizador e as palavras-passe predefinidos do seu router para algo menos fácil de adivinhar.
  • Consulte o site do fabricante para obter atualizações, confirme a data de fim de vida útil e atualize para as versões mais recentes do firmware.
  • Desative as interfaces de gestão remota a partir da Internet, sempre que possível.
  • Todos os utilizadores devem prestar atenção aos avisos relativos aos certificados nos navegadores da Web e nos clientes de e-mail, pois estes indicam que algo está errado com a ligação segura e podem significar que não está a aceder ao site genuíno.

Para utilizadores com conhecimentos técnicos, substituir o firmware do fabricante por alternativas de código aberto, comoo OpenWrtouo DD-WRT, pode prolongar a vida útil segura do router. No entanto, isto acarreta riscos, incluindo a anulação da garantia ou a possibilidade de o dispositivo ficar inutilizável. Só deve fazer isto, ou mandar fazer, se se sentir à vontade para resolver problemas técnicos.

Se um cidadão norte-americano suspeitar que foi alvo ou vítima de uma ciberintrusão russa, deve comunicar a atividade aoescritório local do FBIou apresentar uma queixa junto doIC3. Certifique-se de que fornece detalhes sobre o router afetado, incluindo o tipo de dispositivo e as configurações DHCP.

Navegue como se ninguém estivesse a ver. 

VPN Malwarebytes Privacy VPN a sua ligação e nunca regista o que faz, para que a próxima notícia que ler não pareça dirigida a si.Experimente gratuitamente → 

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Notícias
Logótipo do JDownloader

Os atacantes substituíram os downloads do instalador do JDownloader por malware

maio 15, 2026

O site do JDownloader foi comprometido e os links de download do instalador distribuíram malware durante vários dias.

IA
Instagram entre o WhatsApp e Instagram

A nova e confusa abordagem da Meta em relação à privacidade nas conversas

maio 15, 2026

O WhatsApp oferece agora conversas com IA que desaparecem, que a Meta afirma não conseguir ler. Entretanto, Instagram remover a funcionalidade que impedia a Meta de ler as suas mensagens.

Privacy
Logótipo do Yahoo Mail

Por que é que Malwarebytes alguns redirecionamentos do Yahoo Mail

maio 14, 2026

Alguns utilizadores do Yahoo Mail poderão receber Malwarebytes repetidos Malwarebytes , causados por ligações em segundo plano a domínios de terceiros suspeitos. Eis o motivo.

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes