FBI desmantela rede russa que sequestrava roteadores de pequenos escritórios
O Departamento de Justiça dos Estados Unidos anunciou o desmantelamento de uma ampla operação de sequestro de roteadores atribuída à unidade 26165 da GRU russa, mais conhecida no meio de segurança como APT28. O grupo, associado há anos a campanhas de ciberespionagem contra governos e setores de defesa, vinha usando equipamentos de pequenos escritórios e residências para redirecionar tráfego de internet e roubar credenciais de acesso.
A ação foi conduzida pelo FBI sob o codinome “Operação Masquerade” e mirou diretamente a infraestrutura utilizada pelo APT28 para explorar vulnerabilidades em roteadores expostos à internet, em especial dispositivos TP-Link. De acordo com as autoridades, os criminosos alteravam configurações críticas de DNS nos equipamentos comprometidos, forçando todos os sistemas conectados a consultar resolvedores maliciosos controlados por eles.
Como funcionava o ataque aos roteadores
De acordo com investigadores norte‑americanos, os operadores do APT28 exploravam falhas conhecidas em modelos populares, como o TP-Link WR841N, incluindo vulnerabilidades catalogadas como CVE-2023-50224. Uma vez obtido acesso administrativo aos roteadores, o grupo substituía os servidores DNS legítimos por endereços pertencentes à sua própria infraestrutura.
Esse tipo de ataque, conhecido como sequestro de DNS (DNS hijacking), permite que o invasor decida para onde o tráfego de um usuário será encaminhado sempre que ele tentar acessar um site ou serviço. Ainda que a maior parte das consultas fosse respondida de forma aparentemente normal, o grupo russo aplicava um redirecionamento altamente seletivo.
Em vez de alterar tudo de maneira grosseira – o que chamaria atenção rapidamente – os atacantes focavam em requisições relacionadas a serviços de autenticação, como Outlook e Microsoft 365 (antigo Office 365). Nessas situações específicas, o tráfego era enviado para servidores configurados em um cenário de “adversário no meio” (AitM), em que o atacante se coloca entre o usuário e o serviço legítimo.
Adversário no meio: interceptando logins sem levantar suspeitas
No modelo AitM empregado pelo APT28, a vítima acreditava estar acessando o serviço corporativo ou em nuvem de costume. A interface apresentada podia ser idêntica à do provedor legítimo. Porém, por trás da página de login, quem recebia primeiro as credenciais era a infraestrutura controlada pelo grupo.
Com essa abordagem, os atacantes conseguiam capturar nomes de usuário, senhas e, em muitos casos, tokens de autenticação, possibilitando acesso posterior a caixas de e-mail, dados corporativos e outros recursos sensíveis sem necessidade de comprometer diretamente os servidores das organizações.
Autoridades e pesquisadores destacam que esse tipo de ataque é particularmente perigoso quando combinado com autenticação multifator (MFA). Muitas soluções de MFA tradicionais podem ser enganadas em cenários de AitM, permitindo que o invasor “passe adiante” o código ou a aprovação em tempo real, estabelecendo uma sessão válida em nome da vítima.
Escala global da campanha
Relatórios técnicos indicam que a campanha conduzida pelo APT28 alcançou proporções globais. A Lumen Black Lotus Labs observou, no auge das atividades, em dezembro de 2025, mais de 18 mil endereços IP de vítimas distribuídos por 120 países.
A Microsoft, que também monitorou a operação, reportou o comprometimento de milhares de dispositivos de rede, afetando mais de 200 organizações e, ao menos, 5 mil consumidores individuais. Trata‑se de uma combinação preocupante de alvos corporativos e usuários domésticos, o que reforça a tendência de uso de infraestruturas “não corporativas” como base para ataques sofisticados.
Para o APT28, operar por meio de roteadores de pequenos escritórios e residências traz diversas vantagens: dificulta a atribuição direta ao grupo, dispersa o tráfego malicioso e explora a baixa maturidade em segurança desses ambientes, onde atualizações de firmware e boas práticas de configuração nem sempre são prioridade.
Como o FBI neutralizou a operação
Segundo o comunicado oficial, o FBI atuou diretamente sobre os roteadores comprometidos. Utilizando a mesma superfície de ataque explorada pelo grupo, os agentes emitiram comandos remotos para restaurar as configurações legítimas de DNS e bloquear o acesso posterior dos criminosos aos dispositivos.
As autoridades enfatizam que a operação foi cuidadosamente desenhada para não acessar conteúdo de usuários, não coletar dados pessoais nem prejudicar o funcionamento normal dos equipamentos. O objetivo era exclusivamente remover as alterações maliciosas, quebrar o controle dos atacantes e impedir novos redirecionamentos de tráfego.
Do ponto de vista jurídico, esse tipo de ação reforça um modelo em que agências de segurança, munidas de ordem judicial, intervêm diretamente em equipamentos comprometidos para neutralizar botnets e campanhas em andamento, algo que vem se tornando mais frequente em casos de grande impacto.
O papel do APT28 no cenário de ciberespionagem
Atribuído à inteligência militar russa, o APT28 aparece recorrentemente em incidentes que envolvem espionagem digital contra governos, forças armadas, diplomacia e setores estratégicos. A escolha de roteadores domésticos e de pequenos escritórios como vetor de ataque representa uma tática de “baixo perfil”, que contrasta com a sofisticação de alvos e objetivos.
Esse tipo de abordagem híbrida – infraestrutura aparentemente banal, combinada com técnicas avançadas de interceptação – cria um desafio adicional para defensores. Em vez de focar apenas em grandes data centers e redes corporativas, torna-se necessário considerar que a borda da rede está cada vez mais distribuída, passando por dispositivos simples, muitas vezes antigos e sem suporte adequado.
Lições para empresas e usuários finais
O caso desmontado pelo FBI evidencia um ponto crítico: roteadores esquecidos no canto de escritórios ou residências podem se transformar na porta de entrada para ataques altamente direcionados. Algumas recomendações práticas emergem diretamente dessa operação:
– Substituir equipamentos em fim de vida útil, que já não recebem atualizações de firmware do fabricante.
– Manter sempre o firmware atualizado nos roteadores ativos.
– Alterar senhas padrão de administração e adotar senhas longas e únicas.
– Verificar regularmente as configurações de DNS, garantindo o uso de servidores confiáveis.
– Desativar o gerenciamento remoto pela internet, quando não estritamente necessário.
– Segmentar a rede (por exemplo, separando dispositivos IoT da rede principal).
Organizações que dependem fortemente de serviços em nuvem e autenticação online devem, ainda, investir em soluções que protejam contra ataques AitM, como MFA resistente a phishing (baseada em chaves de segurança e padrões modernos) e monitoração de logins suspeitos, inclusive a partir de endereços IP inesperados.
Importância de monitorar dispositivos fora do “core” da rede
Uma das mensagens mais contundentes desse caso é a necessidade de ampliar o escopo da segurança além do data center e da nuvem. Pequenos escritórios remotos, home offices de executivos e dispositivos de acesso de terceiros (fornecedores, consultores, parceiros) podem servir como base para ataques sofisticados sem que a empresa perceba.
Implementar políticas claras para equipamentos conectados à rede corporativa, incluindo requisitos mínimos de segurança para roteadores domésticos usados em trabalho remoto, pode reduzir a superfície de ataque. Ferramentas de inventário e visibilidade de ativos tornam‑se, assim, componentes essenciais de qualquer estratégia de cibersegurança moderna.
Impacto estratégico e geopolítico
Campanhas como a desarticulada pela “Operação Masquerade” não têm apenas impacto técnico. Elas fazem parte de um contexto mais amplo de conflitos híbridos, em que estados-nação utilizam o ciberespaço para coletar informações estratégicas, pressionar adversários e influenciar cenários políticos e militares.
Ao desmantelar essa infraestrutura, os Estados Unidos enviam um sinal tanto ao APT28 quanto a outros grupos patrocinados por governos: a utilização de recursos civis e de uso cotidiano como plataforma de espionagem será alvo de resposta ativa. Ao mesmo tempo, a ação reforça a cooperação entre órgãos governamentais e empresas de tecnologia, fundamentais para detectar e neutralizar esse tipo de ameaça em escala global.
Como usuários e empresas podem se antecipar a ataques semelhantes
Embora a operação tenha interrompido uma campanha específica, o método empregado é relativamente simples de replicar por outros grupos. Isso significa que o problema não termina com o desmantelamento da infraestrutura atual. Para reduzir riscos, vale adotar algumas ações adicionais:
– Revisar políticas de acesso remoto e VPN, garantindo que o tráfego passe por camadas adicionais de segurança.
– Implementar detecção de anomalias de DNS, capaz de identificar resoluções suspeitas ou incomuns.
– Educar funcionários sobre riscos de sessões falsas de login e sinais de ataques de phishing avançados.
– Realizar testes de penetração e avaliações de segurança que incluam roteadores e demais dispositivos de borda.
Ao combinar medidas técnicas, processos bem definidos e conscientização de usuários, organizações e indivíduos podem tornar muito mais difícil a exploração de vulnerabilidades em roteadores – reduzindo o espaço de manobra de grupos como o APT28 e elevando significativamente o custo operacional de campanhas desse tipo.
Recomendações finais
Para quem utiliza roteadores TP-Link ou de qualquer outro fabricante em casa ou no escritório, é recomendável:
1. Acessar a interface de administração e verificar quais servidores DNS estão configurados.
2. Confirmar se o dispositivo está com a versão mais recente de firmware disponível.
3. Desativar funções que não são utilizadas, como acesso remoto e UPnP, sempre que possível.
4. Considerar a troca do equipamento se ele já não possuir suporte oficial ou se tiver histórico de falhas exploradas ativamente.
O caso da rede de roteadores sequestrados pela unidade 26165 da GRU reforça que segurança de rede começa, muitas vezes, no equipamento mais simples. Ignorá-lo pode ser justamente o que grupos avançados esperam para transformar a infraestrutura de uso cotidiano em arma de ciberespionagem de alcance global.