ue, 07 Apr 2026
← VoltarHackers ligados às unidades de inteligência militar da Rússia estão usando falhas conhecidas em roteadores de Internet mais antigos para coletar em massa tokens de autenticação de usuários do Microsoft Office, alertaram hoje especialistas em segurança. A campanha de espionagem permitiu que hackers russos apoiados pelo Estado desviassem silenciosamente tokens de autenticação de
Hackers ligados às unidades de inteligência militar da Rússia estão usando falhas conhecidas em roteadores de Internet mais antigos para coletar em massa tokens de autenticação de usuários do Microsoft Office, alertaram hoje especialistas em segurança. A campanha de espionagem permitiu que hackers russos apoiados pelo Estado desviassem discretamente tokens de autenticação de usuários em mais de 18 mil redes, sem implantar qualquer software ou código malicioso. A Microsoft disse hoje em um blog que identificou mais de 200 organizações e 5.000 dispositivos de consumo que foram apanhados em uma rede de espionagem furtiva, mas extremamente simples, construída por um ator de ameaça apoiado pela Rússia, conhecido como “Forest Blizzard”. Como as solicitações de DNS direcionadas foram redirecionadas no roteador.
Imagem: Black Lotus Labs. Também conhecido como APT28 e Fancy Bear, o Forest Blizzard é atribuído às unidades de inteligência militar da Diretoria Principal de Inteligência do Estado-Maior da Rússia (GRU). O APT 28 comprometeu notoriamente a campanha de Hillary Clinton, o Comité Nacional Democrata e o Comité de Campanha Democrata do Congresso em 2016, numa tentativa de interferir nas eleições presidenciais dos EUA. Pesquisadores do Black Lotus Labs, uma divisão de segurança do provedor de backbone de Internet Lumen, descobriram que, no auge de sua atividade em dezembro de 2025, a rede de vigilância da Forest Blizzard capturou mais de 18.000 roteadores de Internet que eram, em sua maioria, roteadores sem suporte, em fim de vida ou muito atrasados em atualizações de segurança.
Um novo relatório da Lumen diz que os hackers visaram principalmente agências governamentais – incluindo ministérios de relações exteriores, autoridades policiais e provedores de e-mail terceirizados. O engenheiro de segurança da Black Lotus, Ryan English, disse que os hackers do GRU não precisaram instalar malware nos roteadores visados, que eram principalmente dispositivos Mikrotik e TP-Link mais antigos comercializados para o mercado de Small Office/Home Office (SOHO). Em vez disso, eles usaram vulnerabilidades conhecidas para modificar as configurações do Sistema de Nomes de Domínio (DNS) dos roteadores para incluir servidores DNS controlados pelos hackers. Como observa o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido em um novo comunicado que detalha como os ciberatores russos têm comprometido roteadores, o DNS é o que permite que os indivíduos acessem sites digitando endereços familiares, em vez de endereços IP associados.
Em um ataque de sequestro de DNS, agentes mal-intencionados interferem nesse processo para enviar secretamente os usuários a sites maliciosos projetados para roubar detalhes de login ou outras informações confidenciais. English disse que os roteadores atacados pela Forest Blizzard foram reconfigurados para usar servidores DNS que apontavam para um punhado de servidores virtuais privados controlados pelos invasores. É importante ressaltar que os invasores poderiam então propagar suas configurações de DNS maliciosas para todos os usuários na rede local e, a partir desse ponto, interceptar quaisquer tokens de autenticação OAuth transmitidos por esses usuários. Sequestro de DNS através de comprometimento do roteador.
Imagem:Microsoft. Como esses tokens normalmente são transmitidos somente depois que o usuário faz login com sucesso e passa pela autenticação multifatorial, os invasores podem obter acesso direto às contas das vítimas sem nunca ter que fazer phishing nas credenciais e/ou códigos únicos de cada usuário. “Todo mundo está procurando algum malware sofisticado para colocar algo em seus dispositivos móveis ou algo assim”, disse English. "Esses caras não usaram malware.
Eles fizeram isso de uma maneira tradicional e grisalha que não é muito sexy, mas dá conta do recado." A Microsoft refere-se à atividade da Forest Blizzard como o uso de sequestro de DNS “para apoiar ataques adversários no meio (AiTM) pós-comprometimento em conexões Transport Layer Security (TLS) contra o Microsoft Outlook nos domínios da web”. A gigante do software disse que embora visar dispositivos SOHO não seja uma tática nova, esta é a primeira vez que a Microsoft vê a Forest Blizzard usando “sequestro de DNS em escala para suportar AiTM de conexões TLS após explorar dispositivos de ponta”. O engenheiro do Black Lotus Labs, Danny Adamitis, disse que será interessante ver como a Forest Blizzard reagirá à onda de atenção de hoje à sua operação de espionagem, não É importante notar que o grupo imediatamente mudou suas táticas em resposta a um relatório semelhante do NCSC (PDF) em agosto de 2025. Na época, a Forest Blizzard estava usando malware para controlar um grupo muito mais direcionado e menor de roteadores comprometidos.
Mas Adamitis disse que no dia seguinte ao relatório do NCSC, o grupo rapidamente abandonou a abordagem de malware em favor da alteração em massa das configurações de DNS em milhares de roteadores vulneráveis. “Antes da publicação do último relatório do NCSC, eles usavam esse recurso em casos muito limitados”, disse Adamitis ao KrebsOnSecurity. “Depois que o relatório foi divulgado, eles implementaram a capacidade de uma forma mais sistêmica e a usaram para atingir tudo o que era vulnerável.” A TP-Link estava entre os fabricantes de roteadores que enfrentaram uma proibição total nos Estados Unidos. Mas em 23 de março, a Comissão Federal de Comunicações (FCC) dos EUA adotou uma abordagem muito mais ampla, anunciando que não iria mais certificar roteadores de Internet para consumidores produzidos fora dos Estados Unidos.
A FCC alertou que os roteadores fabricados no exterior se tornaram uma ameaça insustentável à segurança nacional e que roteadores mal protegidos apresentam “um grave risco de segurança cibernética que poderia ser aproveitado para interromper imediata e severamente a infraestrutura crítica dos EUA e prejudicar diretamente as pessoas dos EUA”. Os especialistas argumentaram que poucos roteadores novos para consumo estariam disponíveis para compra sob esta nova política da FCC (além talvez dos roteadores de Internet via satélite Starlink de Musk, que são produzidos no Texas). A FCC afirma que os fabricantes de roteadores podem solicitar uma “aprovação condicional” especial do Departamento de Guerra ou do Departamento de Segurança Interna, e que a nova política não afeta nenhum roteador de consumo adquirido anteriormente. Esta entrada foi publicada em terça-feira, 7 de abril de 2026, 13h02.
Esta é uma informação útil e que vale a pena transmitir a quem possa estar interessado. Mas… gostaria que houvesse informações mais claras sobre quais roteadores estão em risco. Sou um indivíduo e não tenho responsabilidade fora de minha própria casa. Mas se eu enviasse isto, digamos, a um funcionário público encarregado de proteger as suas redes, o que poderia dizer?
Sou “apenas um estranho” e *não sou confiável.* Conforme apropriado, dado um ambiente de confiança zero. Procurando um flash de brilho aqui. Existem vários links para outros recursos na história, incluindo este comunicado do NCSC, que lista muito especificamente quais modelos foram afetados e por quê. https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations Agora que olho mais de perto o comunicado do NCSC, ele lista principalmente dispositivos TP-Link específicos que viu como parte da botnet, bem como domínios e endereços IP associados à botnet DNS.
Mas não menciona Microtik. Esperançosamente, outra pessoa pode contribuir nessa frente. Lista IOC… https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations#ioc Como o ataque depende de um certificado TLS inválido, também exige que o usuário ignore os avisos sobre um certificado inválido. É claro que 98% dos usuários médios autorizariam conexões de qualquer maneira.
Estou confuso com a postagem original da Microsoft. Os domínios do Outlook não deveriam estar em pré-carregamento de HSTS ou pelo menos ter HSTS desde a primeira visita? Como a Microsoft tem muitos domínios, isso pode ter sido um descuido. Para tokens de autenticação OAuth, pelo que entendi, a parte do token de autenticação do redirecionamento OAuth não é transmitida ao criar uma conexão https pela primeira vez.
O site do “Cliente” em termos OAuth também poderia usar HSTS para derrotá-lo. Não que eu concordasse com o comprometimento do meu roteador/DHCP. Mas a confiança no DNS em geral é o que o https deve evitar (bem como a confiança no roteamento IP para a própria conexão http). O servidor DNS poderia ser codificado para, digamos, 8.8.8.8 e um ataque MitM regular também poderia funcionar.
Isso se o usuário clicar em avisos de certificados incorretos e não houver HSTS. Eu ainda não entendo. Suponha que alguém tenha comprometido um roteador ou servidor de nomes. Então a conexão iria para um mach Não pretendo obter essa conexão.
A verificação do certificado TLS não falharia porque o servidor não pode provar ao cliente que possui a chave privada? Ou faz parte da história que as chaves privadas foram exfiltradas? Ou que eles estão fazendo algo sorrateiro, como micros0ft.com, micr0soft.com ou microsoft.corn? Você está correto – o ataque depende de usuários não qualificados que ignoram o erro TLS.
Então, foi o caso de: 1) Usuários sendo enganados por sites semelhantes (o DNS falsificado leva a um site que então redireciona). 2) O redirecionamento de DNS para um site não-TLS, com os navegadores não alertando 3) Os roteadores e dispositivos do usuário sendo configurados para confiar em uma raiz TLS no roteador, que foi comprometido. 4) Os pontos finais em questão são HTTP simples? Basicamente, estou lutando para entender como o redirecionamento de DNS leva ao AiTM no TLS.
Ah, não importa, vejo que a pista está *apenas na imagem*. Portanto, depende de um usuário ignorar um erro/aviso de TLS. Toda a cadeia de hackers requer roteadores SOHO antigos, desatualizados e, de fato, obsoletos em uso em 2026. Algumas% das pessoas clicarão reflexivamente em 'continuar', não importa o que o resto diga, porque não entendem os avisos, termos / gramática / idioma / importância de nada disso, ficam intimidados ou estão apenas configurados para clicar inerentemente - as mesmas pessoas que usam roteadores SOHO extintos há 10 anos que nunca leram as palavras firmware nem foram depreciados em suas vidas felizes como vetores de doenças.
Gerações de mosquitos tão maduras não deveriam estar na Internet em 2026. Os fornecedores deveriam ter (obrigatório!) Incorporado bombas-relógio FW para FORÇAR atualizações/renovações em uma janela de 1 a 2 anos. Se morrer porque não foi atualizado naquela janela, ele morre. Envie-o e pegue um novo.
Não há zumbis desacompanhados! Não estou discordando totalmente de você, cochonilha, mas acho que você pode ser um pouco pesado com o desprezo. Ok, mas ‘desprezo’ dirigido a quem? É um artefato de negócios construído sobre paradigmas de fracasso.
Os produtos voltados para a Internet devem ser protegidos e atualizados – ou não ter acesso à Internet. (Isso vai irritar alguns libertários do tipo que o hardware é meu, com razão.) Sem desprezo; pessoas que não sabem o que firmware ou obsoleto significam como termos não devem ser responsabilizadas pela segurança de seus dispositivos. Eles não são capazes. Essa responsabilidade deve recair sobre o fabricante do produto e ser aplicada de uma forma ou de outra.
Se pode ser consertado, deve ser consertado. As coisas custarão mais. Nem todos os produtos passarão pelo corte. O que será.
Eu quis dizer desprezo dirigido contra pessoas geralmente desinteressantes que usam hardware de dez anos de maneira um tanto ignorante. Não é como se houvesse tantas pessoas hackeando WiFi como décadas atrás. Suas ameaças são mais provavelmente phishing ou clicar no link errado. Encolher os ombros.
Não que isso não esteja feito. Não que um funcionário da Darpa tivesse algum interesse em fazer isso. Mas algum idiota aleatório, meh. Um de nós está perdendo a essência do que o outro está dizendo, ou ambos.
Não estou “desprezando” a % de pessoas que não podem ser incomodadas nem se importam em tentar entender como proteger basicamente seus dispositivos (pessoais) que tocam na Internet, embora, como meu tom implica, essa não seja uma posição facilmente defensável no mundo das campanhas de malware de 2026 e fraudes associadas. Se eles não se importam e os MFR não estão a ser forçados a preocupar-se particularmente e não há nenhum interruptor de homem morto que os tire da Internet partilhada e os coloque em modo mole quando se tornam obsoletos ou seriamente vulneráveis, o resultado é aquilo de que estamos a falar – fraudes e campanhas que têm sucesso, que vão de lado para outros sistemas e instituições e minam sistemas de outra forma protegidos por associação, e arruínam a vida das pessoas. A ignorância pode ser uma bênção, mas não deve ser um vetor desculpado. Como não podemos forçar a educação de todos os usuários da Internet (ah, algum dia) antes que os pacotes sejam roteados para eles, o mínimo que podemos fazer é forçar os fabricantes a fazerem esforços mais oportunos e óbvios para oferecer produtos EXCLUSIVAMENTE seguros e atualizados, e estar dispostos a consumir parte da margem de lucro quando enviarem modelos de substituição para o último dezembro.
cliente itinerante de ade. Mas mesmo o idiota aleatório tem a responsabilidade de TENTAR não ser uma falha de higiene online, assim como todos deveriam olhar para os dois lados antes de atravessar a rua. Há um limite para a quantidade de preguiça que o universo permite. O idiota aleatório não está totalmente fora de perigo quando seus arquivos são criptografados e suas credenciais de trabalho estão no vento do APT.
Desejo felicidades ao Random, mas se quisermos proteger tudo o que ele toca, precisamos levar a sério os Fabricantes Aleatórios. 'precisamos levar a sério os fabricantes aleatórios.' Venho dizendo exatamente isso há mais de uma década. É mais difícil do que você imagina. Eu percebo isso, mas não podemos parar de tentar realizá-lo.
Se pudermos impor tarifas sobre coisas por motivos estúpidos e míopes, você pensaria que também poderíamos usar esse poder para coisas úteis de vez em quando. Sem tornar isso muito político, estamos sendo idiotas. O que estamos esperando. Qualquer ambiente de alta segurança deveria ter seus dispositivos endpoint configurados para evitar que os usuários ignorassem quaisquer avisos de certificado.
O DNSSEC forçado também teria ajudado. Como último recurso, treinamento e conscientização adequados do usuário. Um ambiente de alta segurança pode esperar que seus usuários tenham um mínimo de bom senso em relação a coisas assim (clicando em um grande sinal de alerta vermelho piscando). Mas eles DEVEM insistir no acesso condicional com o token Oauth vinculado ao dispositivo para o qual foi emitido.
…….Qualquer pessoa?? QUALQUER UM EM UM AMBIENTE DE ALTA SEGURANÇA… Grilos… e culpar o usuário novamente. Em 2026, isso é o que está em jogo, não um ‘recurso de segurança adicional’ Redmond – você está confundindo usuários que não conhecem melhor. Vergonha.
Para ser justo, clicar em um aviso sobre uma conexão insegura – não é bom ter certeza. Mas muita vergonha de andar por aqui. Pode chegar ao ponto em que grandes corporações e ISPs precisem começar a banir dispositivos que são EOL/EOS. Não gosto disso, mas eles parecem representar um grande risco à segurança de todos, inclusive deles próprios.
A alternativa é forçar as empresas que fabricam esses dispositivos a fornecer atualizações de segurança para sempre, o que para mim também não é uma boa ideia. Mas tantos dispositivos e softwares de consumo usam certificados autoassinados que as pessoas estão tão acostumadas a simplesmente clicar. Talvez comece a exigir que qualquer coisa que exija a assinatura de um certificado usando algo como certbot com renovação automática habilitada por padrão quando possível? Eu quis dizer desprezo dirigido contra pessoas geralmente desinteressantes que usam hardware de dez anos de maneira um tanto ignorante.
Não é como se houvesse tantas pessoas hackeando WiFi como décadas atrás. Suas ameaças são mais provavelmente phishing ou clicar no link errado. Encolher os ombros. Não que isso não esteja feito.
Não que um funcionário da Darpa tivesse algum interesse em fazer isso. Mas algum idiota aleatório, meh. Eu entendi o que você quis dizer. A onda de invasões vem aumentando muito ultimamente.
Todos os navegadores modernos não forçam o “DNS seguro” através do google/cloudflare? Parece um alerta sério. Tokens do Microsoft Office e ignorar totalmente o MFA. Isso mostra como dispositivos de rede negligenciados podem se tornar ferramentas poderosas de espionagem.
Manter seus roteadores atualizados é definitivamente a decisão. Os comentários estão fechados. Pesquisa na lista de discussão KrebsOnSecurity Postagens recentes Categorias de histórias Por que tantos hackers importantes vêm da Rússia