Pesquisadores de segurança e agências governamentais descobriram uma campanha massiva e de longa duração de ataques cibernéticos envolvendo o sequestro de milhares de roteadores domésticos e de pequenas empresas. A operação, ligada ao grupo patrocinado pelo Estado russo Fancy Bear (APT 28), foi projetada para interceptar o tráfego da Internet e roubar senhas e tokens de acesso de usuários inocentes em todo o mundo.
A mecânica do ataque: como os roteadores se tornam spyware
Os hackers não atacaram diretamente computadores individuais; em vez disso, eles comprometeram o ponto de entrada da rede: o roteador. Ao explorar vulnerabilidades não corrigidas em dispositivos fabricados pela MikroTik e TP-Link, os invasores ganharam controle sobre o próprio hardware.
Depois que um roteador foi comprometido, os hackers modificaram suas configurações para realizar um redirecionamento no estilo “man-in-the-middle”. Este processo funciona da seguinte forma:
1. Redirecionamento de tráfego: As solicitações legítimas de Internet da vítima são roteadas sub-repticiamente através da infraestrutura controlada pelos hackers.
2. Spoofing: os usuários são direcionados para versões falsas de sites legítimos (como provedores de e-mail ou portais bancários).
3. Roubo de credenciais: Quando os usuários inserem seus detalhes de login, os hackers capturam suas senhas e tokens de sessão.
Por que isso é importante: Ao roubar tokens de sessão, os hackers podem ignorar a autenticação de dois fatores (2FA). Isso permite que eles sequestrem contas on-line ativas sem nunca precisar do código de segurança secundário da vítima, tornando ineficaz uma das defesas modernas mais comuns.
Uma escala global: das famílias às agências governamentais
A escala da operação é vasta, caracterizada pelo que os especialistas chamam de abordagem “oportunista”. Em vez de visar indivíduos específicos desde o início, os hackers lançaram uma ampla rede para infectar o maior número possível de dispositivos, filtrando posteriormente os dados para encontrar alvos de alto valor.
Dados de vários organismos de investigação destacam a amplitude da infecção:
– Black Lotus Labs (Lumen): Identificou pelo menos 18.000 vítimas em aproximadamente 120 países, incluindo autoridades policiais, departamentos governamentais e provedores de e-mail no Norte da África, América Central e Sudeste Asiático.
– Microsoft: Foi relatado que mais de 200 organizações e 5.000 dispositivos de consumo foram afetados, incluindo pelo menos três entidades governamentais na África.
Os atores por trás da campanha
O grupo identificado como autor do crime é Fancy Bear, também conhecido como APT 28. Acredita-se que este grupo esteja afiliado à agência de inteligência militar da Rússia, a GRU.
A Fancy Bear tem um histórico documentado de espionagem de alto risco e operações disruptivas, principalmente:
* A violação de 2016 do Comitê Nacional Democrata (DNC) nos Estados Unidos.
* O hack destrutivo de 2022 visando o provedor de satélite Viasat.
Contramedidas e perturbações
Em resposta à campanha, uma coalizão global que inclui o FBI e a Lumen tomou medidas para interromper a infraestrutura dos hackers. Esse esforço incluiu colocar off-line uma botnet em grande escala e interromper vários domínios usados para facilitar os ataques.
A principal conclusão para os usuários é a importância crítica da manutenção de hardware. Como os invasores confiaram em software desatualizado e em vulnerabilidades não corrigidas, muitos desses dispositivos permaneceram vulneráveis por anos sem o conhecimento dos proprietários.
Conclusão: Esta campanha demonstra como os invasores estão cada vez mais visando a infraestrutura de rede, em vez dos dispositivos do usuário final, para contornar as camadas de segurança modernas, como 2FA. Manter firmware atualizado em todos os hardwares conectados à Internet continua sendo uma defesa vital contra essas ameaças sofisticadas patrocinadas pelo Estado.
