FBI desmonta operação russa que sequestrava roteadores no mundo todo
O Departamento de Justiça dos Estados Unidos anunciou o desmantelamento de uma ampla infraestrutura de sequestro de roteadores atribuída à unidade 26165 da GRU, a inteligência militar russa, mais conhecida no meio de segurança como APT28. A ação, batizada de “Operação Masquerade”, teve como alvo uma campanha de ciberespionagem que explorava vulnerabilidades em roteadores de pequeno porte para desviar tráfego de internet e roubar credenciais de acesso a serviços corporativos e de e-mail.
Segundo as autoridades, os criminosos concentravam seus ataques em roteadores de pequenos escritórios e residências, principalmente modelos TP-Link expostos diretamente à internet. Ao explorar falhas conhecidas, como a vulnerabilidade catalogada como CVE-2023-50224 em aparelhos como o WR841N, os atacantes conseguiam assumir o controle do dispositivo, alterar as configurações de DNS e forçar todos os sistemas conectados a resolver nomes de domínio por meio de servidores controlados pelo grupo.
O APT28, também chamado de Fancy Bear em relatórios de segurança, é um dos grupos de ameaça mais ativos associados ao governo russo. Ele é historicamente ligado a operações de ciberespionagem contra órgãos governamentais, organizações de defesa, diplomacia e alvos de interesse estratégico em diversos países. A campanha agora interrompida seguia essa mesma lógica: não se tratava de simples fraude financeira, mas de coleta sistemática de informações sensíveis.
Dados de empresas de segurança indicam a dimensão da operação. Informações compiladas apontam que milhares de roteadores foram comprometidos, afetando mais de 200 organizações e pelo menos 5 mil usuários domésticos. Laboratórios de inteligência de rede observaram, no auge da campanha, em dezembro de 2025, mais de 18 mil endereços IP vítimas espalhados por 120 países, demonstrando o alcance global da ação.
O método de ataque se baseava em um redirecionamento seletivo do tráfego DNS. Depois que o roteador era invadido e reconfigurado, praticamente todas as consultas continuavam a ser respondidas de maneira aparentemente normal, justamente para não chamar atenção. No entanto, pedidos relacionados a serviços específicos, como autenticação em contas do Outlook e do Microsoft 365, eram encaminhados para servidores de adversário-no-meio (Adversary-in-the-Middle, AitM) controlados pelo grupo.
Nessa infraestrutura AitM, os atacantes interceptavam o processo de login, capturando nomes de usuário, senhas e, em muitos casos, tokens de autenticação. Com esses dados, eles podiam acessar contas corporativas, caixas de e-mail e outros sistemas internos sem disparar os alertas tradicionais de tentativas de login suspeitas, já que o acesso subsequente muitas vezes parecia vir do mesmo usuário legítimo.
Para neutralizar a ameaça, o FBI obteve autorização judicial e passou a enviar comandos remotos aos roteadores comprometidos. A ação tinha dois objetivos principais: restaurar as configurações de DNS para valores legítimos e bloquear acessos futuros da infraestrutura controlada pelo grupo russo. As autoridades destacam que, durante a operação, não houve coleta de conteúdo de usuários nem interrupção relevante do funcionamento dos dispositivos, limitando-se à correção das configurações adulteradas.
Ainda assim, os órgãos de segurança alertam que a correção remota não substitui as boas práticas de proteção. Usuários e empresas são orientados a substituir roteadores que já chegaram ao fim da vida útil, especialmente aqueles que não recebem mais atualizações de firmware. Também é fundamental aplicar os patches de segurança fornecidos pelos fabricantes, alterar senhas padrão e revisar periodicamente as configurações de DNS para garantir que não foram alteradas sem autorização.
Especialistas em cibersegurança ressaltam que o foco em roteadores de pequenos escritórios e residências não é por acaso. Esses equipamentos costumam ficar anos em uso sem manutenção adequada, com senhas fracas e interfaces de administração expostas à internet. Para grupos avançados como o APT28, essa combinação cria uma superfície de ataque enorme e relativamente barata de explorar, servindo como porta de entrada para redes maiores e mais valiosas.
Outro ponto de atenção é o uso de ataques AitM para contornar mecanismos de segurança modernos, como autenticação multifator (MFA). Em muitos casos, quando o usuário digita suas credenciais em uma página falsa que replica o serviço legítimo, o atacante consegue, em tempo real, repassar os dados ao serviço verdadeiro, capturar o token resultante e, assim, burlar inclusive proteções adicionais. Isso reforça a importância de adotar soluções de MFA resistentes a phishing, como chaves de segurança físicas ou padrões avançados de autenticação.
Do ponto de vista geopolítico, a operação expõe mais uma vez como a infraestrutura de internet doméstica pode ser instrumentalizada em campanhas de espionagem estatal. Ao transformar roteadores comuns em pontos de interceptação distribuídos pelo mundo, grupos patrocinados por governos conseguem esconder suas trilhas, mascarar a origem dos ataques e coletar dados estratégicos sem necessariamente invadir diretamente grandes data centers ou redes governamentais centrais.
Para empresas de todos os portes, o episódio serve como alerta prático. Não basta proteger apenas servidores e estações de trabalho; a borda da rede – especialmente roteadores, firewalls de pequena capacidade e dispositivos de acesso remoto – precisa ser tratada como ativo crítico. Isso inclui inventariar os modelos em uso, verificar se ainda recebem suporte do fabricante, segmentar a rede para limitar o impacto de um eventual comprometimento e monitorar anomalias de tráfego, como alterações suspeitas de DNS ou conexões para servidores desconhecidos.
No ambiente doméstico, algumas medidas simples já reduzem bastante o risco: trocar imediatamente a senha padrão do roteador, desabilitar o acesso remoto à interface de administração se não for estritamente necessário, manter o firmware atualizado, desativar serviços que não são usados (como UPnP e WPS, quando possível) e, sempre que disponível, ativar recursos de segurança adicionais oferecidos pelo próprio equipamento ou pelo provedor de internet.
Também é recomendável que usuários e equipes de TI validem regularmente quais servidores DNS estão configurados nos roteadores e dispositivos. Se houver endereços estranhos ou diferentes dos fornecidos pelo provedor ou por um serviço confiável previamente escolhido, isso pode ser sinal de comprometimento. Ferramentas de monitoramento de integridade de configuração ajudam, no caso corporativo, a detectar rapidamente alterações não autorizadas.
Outro impacto dessa operação é a discussão sobre o papel de órgãos como o FBI ao intervir diretamente em equipamentos de cidadãos e organizações, mesmo que seja para restaurar configurações comprometidas. Há um debate crescente sobre transparência, limites legais e responsabilidade em ações de “cirurgia remota” em massa, especialmente quando realizadas em infraestrutura privada fora de ambientes governamentais. Por outro lado, muitos especialistas defendem que, sem esse tipo de ação coordenada, campanhas de espionagem em larga escala permaneceriam ativas por anos.
Para o cenário de segurança digital como um todo, o caso reforça uma tendência: grupos avançados estão cada vez mais voltados a comprometer a cadeia de fornecimento e os pontos de acesso mais frágeis, em vez de atacar diretamente os alvos finais mais protegidos. Roteadores de pequeno porte, dispositivos IoT, câmeras e outros equipamentos conectados compõem um “ecossistema invisível” que precisa entrar definitivamente na estratégia de proteção de empresas e usuários.
Em síntese, a “Operação Masquerade” não apenas desmobilizou uma infraestrutura de sequestro de roteadores administrada por um dos grupos de ameaça mais perigosos do mundo, como também escancarou a urgência de tratar a segurança de roteadores e da camada DNS como prioridade. A combinação de ação estatal coordenada, boas práticas de configuração e atualização de dispositivos e educação contínua de usuários é hoje uma das poucas formas eficazes de reduzir o espaço de manobra de atores sofisticados como o APT28.