Fancy Bear intensifica ataques a roteadores para impulsionar páginas falsas e roubar credenciais
O grupo de ciberespionagem APT28, mais conhecido como Fancy Bear e amplamente associado ao serviço de inteligência militar russo (GRU), mantém uma campanha ativa de ataques contra roteadores de pequeno porte e dispositivos utilizados em escritórios domésticos (SOHO). Segundo alerta recente de autoridades de segurança, o objetivo central é alterar configurações de DNS nesses equipamentos para redirecionar usuários, de forma invisível, a sites falsos controlados pelos atacantes.
A técnica é relativamente simples, mas extremamente eficaz: ao comprometer o roteador, o grupo modifica os servidores DNS configurados no equipamento. A partir desse momento, qualquer dispositivo que use aquele roteador para acessar a internet – notebooks, desktops, smartphones ou tablets – pode ser conduzido a páginas maliciosas mesmo quando o usuário digita o endereço correto do serviço desejado no navegador.
Um dos alvos mais frequentes desses redirecionamentos são serviços amplamente utilizados em ambiente corporativo, como o Outlook. Em vez de chegarem à página legítima de login, as vítimas são levadas a uma cópia visualmente idêntica, criada pelos atacantes. Nessa falsa página, inserem suas credenciais reais de e-mail e senha, acreditando estar acessando o serviço oficial. As informações, no entanto, vão direto para as mãos do Fancy Bear.
Entre os equipamentos citados nos alertas estão, em especial, roteadores TP-Link, embora dispositivos Cisco já tenham sido alvo de campanhas semelhantes, monitoradas desde 2021. Outro conjunto de ataques mirou roteadores MikroTik, muitos deles localizados na Ucrânia. A hipótese é que esse comprometimento em massa tenha como finalidade coletar dados úteis para fins de inteligência militar, ampliando o alcance do grupo dentro de redes estratégicas.
Apesar de o sequestro de DNS não ser uma técnica nova e já ser utilizada há anos por agentes de ameaça sofisticados, especialistas acreditam que a campanha em andamento tem forte componente oportunista. Em vez de focar, exclusivamente, indivíduos de alto valor, o grupo estaria explorando falhas amplamente conhecidas em dispositivos disseminados globalmente, tirando proveito da configuração fraca e da falta de atualização em milhares de roteadores.
Para autoridades de segurança, o caso ilustra de maneira clara como vulnerabilidades em equipamentos de rede comuns – muitas vezes baratos, antigos ou mal administrados – podem ser exploradas por grupos altamente avançados. A mensagem é direta: qualquer organização, independentemente de porte, pode se tornar um elo fraco em uma cadeia de ataque mais ampla, seja como alvo direto, seja como ponto de passagem para atingir empresas maiores.
A Microsoft, que também analisou a campanha, identificou essa operação do APT28 sob o codinome Forest Blizzard. De acordo com a empresa, a intenção do grupo não se limita ao roubo de credenciais individuais. O objetivo é comprometer roteadores pertencentes a organizações que se conectam a grandes alvos, criando uma rota de acesso indireta a ambientes corporativos mais robustos, serviços internos e dados sensíveis. Ao controlar a infraestrutura de rede na borda, o atacante ganha uma posição privilegiada para espionagem, movimentos laterais e coleta de informações.
Dados de telemetria indicaram que mais de 200 organizações e cerca de 5.000 dispositivos de usuários domésticos foram afetados pela infraestrutura de DNS maliciosa vinculada ao Fancy Bear. Embora não tenham sido identificados, nesse levantamento específico, ativos ou serviços da própria Microsoft comprometidos, o número dá dimensão da escala e da agressividade da campanha.
Além da captura de credenciais, os invasores podem usar o controle dos roteadores para finalidades ainda mais danosas. Uma vez que o equipamento está sob seu domínio, é possível participar de ataques de negação de serviço distribuídos (DDoS), distribuir outros tipos de malware dentro da rede, monitorar tráfego, injetar código malicioso em páginas acessadas pelas vítimas ou preparar ataques mais complexos, em múltiplas etapas.
Alertas anteriores já mostravam o potencial destrutivo desse tipo de campanha. Em comunicado de abril de 2023, foi divulgado que ataques contra roteadores Cisco resultaram na instalação do malware Jaguar Tooth pelo próprio APT28. Esse código malicioso criava backdoors permanentes nos equipamentos, abrindo portas para operações posteriores sem que o administrador percebesse qualquer comportamento anormal no dia a dia da rede.
Para o usuário comum, o maior risco está no fato de que tudo acontece de forma silenciosa. A pessoa digita o endereço de um serviço que usa todos os dias, vê uma tela aparentemente idêntica à de costume e não tem nenhum indicativo claro de que o tráfego está sendo redirecionado. Mesmo quem presta atenção ao cadeado do navegador ou ao “https” pode ser enganado, já que criminosos também conseguem obter certificados para domínios falsos que se passam por serviços legítimos.
Empresas de todos os tamanhos – especialmente pequenas e médias, que costumam subestimar sua exposição a ameaças – são particularmente vulneráveis a esse tipo de ataque. Muitas mantêm routers antigos, com firmware desatualizado, senhas padrão de fábrica ou configurações frágeis. Como esses dispositivos raramente entram na rotina de auditoria e monitoramento de segurança, acabam se tornando um alvo natural para grupos avançados em busca de pontos fáceis de exploração.
Algumas medidas básicas podem reduzir significativamente o risco de ser vítima desse tipo de campanha. A primeira é garantir que o firmware dos roteadores seja mantido atualizado, aplicando correções liberadas pelos fabricantes assim que disponíveis. Em paralelo, é essencial alterar senhas padrão, desativar acessos remotos desnecessários, segmentar a rede (separando, sempre que possível, equipamentos pessoais de dispositivos sensíveis) e monitorar regularmente as configurações de DNS do roteador.
Outra boa prática é utilizar, sempre que possível, autenticação em múltiplos fatores para serviços de e-mail, VPNs, sistemas corporativos e contas críticas. Mesmo que uma senha seja capturada em uma página falsa, a etapa adicional de autenticação dificulta o uso imediato dessas credenciais pelos atacantes. Além disso, orientar funcionários e usuários sobre sinais de páginas suspeitas, pedidos inesperados de login e comportamentos estranhos na conexão é parte importante da defesa.
Para organizações mais maduras em segurança, vale considerar soluções de monitoramento de tráfego DNS, uso de DNS filtrado por serviços de segurança, adoção de VPNs com certificados e autenticação robusta, além de inventário regular de todos os ativos de rede. Roteadores, pontos de acesso Wi-Fi e outros dispositivos muitas vezes esquecidos precisam entrar no radar dos times de TI e segurança, com políticas claras de atualização, substituição e descarte.
É importante também adotar uma perspectiva estratégica: ataques como os do Fancy Bear mostram que a borda da rede – o modem ou roteador mais simples – pode se transformar em porta de entrada para campanhas de espionagem altamente sofisticadas. Ignorar a segurança desses componentes é, na prática, abrir caminho para que agentes hostis se estabeleçam, de forma discreta, em infraestruturas que deveriam estar protegidas.
A tendência é que esse tipo de ataque continue evoluindo, combinando exploração de vulnerabilidades em roteadores, técnicas avançadas de phishing, uso de certificados legítimos e campanhas de longo prazo, especialmente em cenários de tensão geopolítica. Para empresas e usuários, a lição é clara: segurança não se limita a servidores, firewalls e sistemas críticos; começa, muitas vezes, no pequeno equipamento que distribui o Wi-Fi de casa ou do escritório.