O Departamento de Justiça dos Estados Unidos e o FBI desmantelaram com sucesso uma vasta rede de ciberespionagem em uma operação judicial autorizada chamada "Operação Máscara". A ação técnica neutralizou milhares de roteadores domésticos comprometidos que foram sequestrados pela inteligência militar russa para espionar alvos globais.
Operação russa de sequestro de roteadores
A interrupção visou uma unidade de hackers dentro da Diretoria Principal de Inteligência (GRU) da Rússia, amplamente rastreada por pesquisadores de segurança como APT28, Fancy Bear, Forest Blizzard e Sednit. Desde pelo menos 2024, esses hackers patrocinados pelo estado exploraram vulnerabilidades de segurança conhecidas para roubar credenciais de milhares de roteadores TP-Link em todo o mundo.
Uma vez que os atores da GRU ganharam acesso não autorizado a um roteador, eles manipularam suas configurações de Sistema de Nome de Domínio (DNS). Isso efetivamente redirecionou o tráfego de internet da vítima para resolvers DNS maliciosos controlados pelos atacantes.
Embora os compromissos iniciais dos roteadores fossem indiscriminados, os hackers usaram um sistema de filtragem automatizado para identificar alvos de alto valor nos setores militar, governamental e de infraestrutura crítica.
Vetor e exploração
Para esses alvos selecionados, os resolvers DNS maliciosos serviam registros fraudulentos que imitavam serviços online legítimos, como o Microsoft Outlook Web Access. Isso permitiu que a GRU executasse ataques de Ator-no-Meio (AitM) contra tráfego de rede criptografado.
Ao rotear o tráfego através de seus servidores, os atacantes conseguiram coletar senhas não criptografadas, tokens de autenticação, e-mails e outros dados sensíveis de dispositivos conectados às redes comprometidas. A técnica de AitM é particularmente perigosa porque permite que os atacantes interceptem comunicações seguras sem quebrar a criptografia subjacente.
Impacto e alcance
A operação afetou milhares de usuários em todo o mundo, com foco em alvos de alto valor. O sequestro de roteadores domésticos e de pequenas empresas (SOHO) criou uma porta de entrada para redes corporativas e governamentais, permitindo que os atacantes monitorassem comunicações sensíveis e roubassem credenciais de acesso.
O impacto estende-se além da espionagem, pois a infraestrutura comprometida poderia ser usada para lançar outros ataques ou para negar serviços a alvos específicos.
Medidas de mitigação recomendadas
Embora o FBI tenha garantido os dispositivos comprometidos, a agência insta todos os proprietários de roteadores SOHO a tomarem medidas proativas para defender suas redes:
- Substituição de hardware: Substitua imediatamente qualquer roteador fora de suporte (EoL) ou não suportado.
- Atualização de firmware: Atualize o hardware para a versão mais recente disponível do fabricante.
- Verificação de DNS: Verifique a autenticidade dos resolvers DNS listados nas configurações do seu roteador.
- Regras de firewall: Revise e atualize as regras de firewall para evitar a exposição pública de serviços de gerenciamento remoto.
O que os CISOs devem fazer agora
Os profissionais de segurança devem revisar as configurações de DNS de todos os roteadores em suas redes corporativas e domésticas. É crucial garantir que os resolvers DNS apontem para servidores legítimos e confiáveis. Além disso, a implementação de monitoramento de tráfego de rede pode ajudar a detectar atividades suspeitas, como redirecionamentos de DNS não autorizados.
Perguntas frequentes
Como saber se meu roteador foi comprometido? Verifique as configurações de DNS do roteador e compare-as com as configurações padrão do seu provedor de serviços de internet (ISP).
Devo trocar meu roteador? Se o seu roteador for antigo ou não receber mais atualizações de segurança, é altamente recomendável substituí-lo por um modelo mais recente e seguro.