ue, 07 Apr 2026
← VoltarHackers militares russos exploraram falhas de roteador para roubar tokens de autenticação do Microsoft Office de mais de 18.000 redes.
Hackers ligados às unidades de inteligência militar da Rússia estão usando falhas conhecidas em roteadores de Internet mais antigos para coletar em massa tokens de autenticação de usuários do Microsoft Office, alertaram hoje especialistas em segurança. A campanha de espionagem permitiu que hackers russos apoiados pelo Estado desviassem discretamente tokens de autenticação de usuários em mais de 18 mil redes, sem implantar qualquer software ou código malicioso. A Microsoft disse hoje em um blog que identificou mais de 200 organizações e 5.000 dispositivos de consumo que foram apanhados em uma rede de espionagem furtiva, mas extremamente simples, construída por um ator de ameaça apoiado pela Rússia, conhecido como “Forest Blizzard”. Também conhecido como APT28 e Fancy Bear, o Forest Blizzard é atribuído às unidades de inteligência militar da Diretoria Principal de Inteligência do Estado-Maior da Rússia (GRU).
O APT 28 comprometeu notoriamente a campanha de Hillary Clinton, o Comité Nacional Democrata e o Comité de Campanha Democrata do Congresso em 2016, numa tentativa de interferir nas eleições presidenciais dos EUA. Pesquisadores do Black Lotus Labs, uma divisão de segurança do provedor de backbone de Internet Lumen, descobriram que, no auge de sua atividade em dezembro de 2025, a rede de vigilância da Forest Blizzard capturou mais de 18.000 roteadores de Internet que eram, em sua maioria, roteadores sem suporte, em fim de vida ou muito atrasados em atualizações de segurança. Um novo relatório da Lumen diz que os hackers visaram principalmente agências governamentais – incluindo ministérios de relações exteriores, autoridades policiais e provedores de e-mail terceirizados. O engenheiro de segurança da Black Lotus, Ryan English, disse que os hackers do GRU não precisaram instalar malware nos roteadores visados, que eram principalmente dispositivos Mikrotik e TP-Link mais antigos comercializados para o mercado de Small Office/Home Office (SOHO).
Em vez disso, eles usaram vulnerabilidades conhecidas para modificar as configurações do Sistema de Nomes de Domínio (DNS) dos roteadores para incluir servidores DNS controlados pelos hackers. Como observa o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido em um novo comunicado que detalha como os ciberatores russos têm comprometido roteadores, o DNS é o que permite que os indivíduos acessem sites digitando endereços familiares, em vez de endereços IP associados. Em um ataque de sequestro de DNS, agentes mal-intencionados interferem nesse processo para enviar secretamente os usuários a sites maliciosos projetados para roubar detalhes de login ou outras informações confidenciais. English disse que os roteadores atacados pela Forest Blizzard foram reconfigurados para usar servidores DNS que apontavam para um punhado de servidores virtuais privados controlados pelos invasores.
É importante ressaltar que os invasores poderiam então propagar suas configurações de DNS maliciosas para todos os usuários na rede local e, a partir desse ponto, interceptar quaisquer tokens de autenticação OAuth transmitidos por esses usuários. Como esses tokens normalmente são transmitidos somente depois que o usuário faz login com sucesso e passa pela autenticação multifatorial, os invasores podem obter acesso direto às contas das vítimas sem nunca ter que fazer phishing nas credenciais e/ou códigos únicos de cada usuário. “Todo mundo está procurando algum malware sofisticado para colocar algo em seus dispositivos móveis ou algo assim”, disse English. "Esses caras não usaram malware.
Eles fizeram isso de uma maneira tradicional e grisalha que não é muito sexy, mas dá conta do recado." A Microsoft refere-se à atividade da Forest Blizzard como o uso de sequestro de DNS “para apoiar ataques adversários no meio (AiTM) pós-comprometimento em conexões Transport Layer Security (TLS) contra o Microsoft Outlook nos domínios da web”. A gigante do software disse que embora visar dispositivos SOHO não seja uma tática nova, esta é a primeira vez que a Microsoft vê a Forest Blizzard usando “sequestro de DNS em escala para suportar AiTM de conexões TLS após explorar dispositivos de ponta”. O engenheiro do Black Lotus Labs, Danny Adamitis, disse que será interessante ver como a Forest Blizzard reagirá à onda de atenção de hoje à sua operação de espionagem, observando que o grupo imediatamente mudou suas táticas em resposta a um relatório NCSC semelhante (PDF) em agosto de 2025. Na época, a Forest Blizzard estava usando malware para controlar um grupo muito mais direcionado e menor de roteadores comprometidos.
Mas Adamitis disse que no dia seguinte ao relatório do NCSC, o grupo rapidamente abandonou a abordagem de malware em favor da alteração em massa das configurações de DNS em milhares de roteadores vulneráveis. “Antes da publicação do último relatório do NCSC, eles usavam esse recurso em casos muito limitados”, disse Adamitis ao KrebsOnSecurity. “Depois que o relatório foi divulgado, eles implementaram a capacidade de uma forma mais sistêmica e a usaram para atingir tudo o que era vulnerável.”