Hackers Russos Invadiram Roteadores para Roubar Tokens do Microsoft Office
Especialistas em segurança alertam que hackers ligados à inteligência militar russa estão explorando falhas conhecidas em roteadores antigos para coletar em massa tokens de autenticação de usuários do Microsoft Office. A campanha de espionagem permitiu que hackers russos, apoiados pelo estado, desviassem silenciosamente tokens de autenticação de usuários em mais de 18.000 redes sem implantar nenhum software ou código malicioso.
MundiX News·13 de abril de 2026·7 min de leitura·👁 2 views
Hackers ligados às unidades de inteligência militar da Rússia estão usando falhas conhecidas em roteadores de Internet mais antigos para coletar em massa tokens de autenticação de usuários do Microsoft Office, alertaram especialistas em segurança hoje. A campanha de espionagem permitiu que hackers russos, apoiados pelo estado, desviassem silenciosamente tokens de autenticação de usuários em mais de 18.000 redes sem implantar nenhum software ou código malicioso.
A Microsoft disse em um post no blog hoje que identificou mais de 200 organizações e 5.000 dispositivos de consumo que foram pegos em uma rede de espionagem furtiva, mas notavelmente simples, construída por um threat actor apoiado pela Rússia conhecido como "Forest Blizzard".
Como as solicitações de DNS direcionadas foram redirecionadas no roteador. Imagem: Black Lotus Labs.
Também conhecido como APT28 e Fancy Bear, o Forest Blizzard é atribuído às unidades de inteligência militar dentro da Diretoria Principal do Estado-Maior das Forças Armadas da Rússia (GRU). O APT 28 é famoso por ter comprometido a campanha de Hillary Clinton, o Comitê Nacional Democrata e o Comitê de Campanha Democrata do Congresso em 2016, em uma tentativa de interferir nas eleições presidenciais dos EUA.
Pesquisadores do Black Lotus Labs, uma divisão de segurança do provedor de backbone da Internet Lumen, descobriram que, no pico de sua atividade em dezembro de 2025, a rede de vigilância do Forest Blizzard envolveu mais de 18.000 roteadores de Internet que eram principalmente roteadores não suportados, em fim de vida útil ou muito atrasados em atualizações de segurança. Um novo relatório da Lumen diz que os hackers visavam principalmente agências governamentais – incluindo ministérios de relações exteriores, aplicação da lei e provedores de e-mail de terceiros.
O engenheiro de segurança da Black Lotus, Ryan English, disse que os hackers da GRU não precisavam instalar malware nos roteadores visados, que eram principalmente dispositivos Mikrotik e TP-Link mais antigos comercializados para o mercado de Pequenos Escritórios/Escritórios Domésticos (SOHO). Em vez disso, eles usaram vulnerabilidades conhecidas para modificar as configurações do Sistema de Nomes de Domínio (DNS) dos roteadores para incluir servidores DNS controlados pelos hackers.
Como o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido observa em um novo aviso detalhando como os cyber actors russos têm comprometido roteadores, o DNS é o que permite que os indivíduos alcancem sites digitando endereços familiares, em vez de endereços IP associados. Em um ataque de DNS hijacking, os bad actors interferem nesse processo para enviar secretamente os usuários para sites maliciosos projetados para roubar detalhes de login ou outras informações confidenciais.
English disse que os roteadores atacados pelo Forest Blizzard foram reconfigurados para usar servidores DNS que apontavam para um punhado de servidores virtuais privados controlados pelos invasores. É importante ressaltar que os invasores poderiam então propagar suas configurações de DNS maliciosas para todos os usuários na rede local e, a partir desse ponto, interceptar quaisquer OAuth authentication tokens transmitidos por esses usuários.
DNS hijacking por meio de comprometimento do roteador. Imagem: Microsoft.
Como esses tokens são normalmente transmitidos somente depois que o usuário fez login com sucesso e passou pela autenticação multifator, os invasores podem obter acesso direto às contas das vítimas sem nunca ter que fazer phishing das credenciais de cada usuário e/ou códigos únicos.
"Todo mundo está procurando algum malware sofisticado para colocar algo em seus dispositivos móveis ou algo assim", disse English. "Esses caras não usaram malware. Eles fizeram isso de uma maneira antiquada, 'graybeard', que não é realmente sexy, mas faz o trabalho."
A Microsoft se refere à atividade do Forest Blizzard como o uso de DNS hijacking "para dar suporte a ataques adversary-in-the-middle (AiTM) pós-comprometimento em conexões Transport Layer Security (TLS) contra o Microsoft Outlook em domínios da web". A gigante do software disse que, embora o direcionamento a dispositivos SOHO não seja uma tática nova, esta é a primeira vez que a Microsoft vê o Forest Blizzard usando "DNS hijacking em escala para dar suporte ao AiTM de conexões TLS após explorar dispositivos de borda".
O engenheiro do Black Lotus Labs, Danny Adamitis, disse que será interessante ver como o Forest Blizzard reage à enxurrada de atenção de hoje à sua operação de espionagem, observando que o grupo mudou imediatamente suas táticas em resposta a um relatório semelhante do NCSC (PDF) em agosto de 2025. Na época, o Forest Blizzard estava usando malware para controlar um grupo muito mais direcionado e menor de roteadores comprometidos. Mas Adamitis disse que, no dia seguinte ao relatório do NCSC, o grupo rapidamente abandonou a abordagem de malware em favor da alteração em massa das configurações de DNS em milhares de roteadores vulneráveis.
"Antes do último relatório do NCSC ser divulgado, eles usaram essa capacidade em instâncias muito limitadas", disse Adamitis ao KrebsOnSecurity. "Depois que o relatório foi divulgado, eles implementaram a capacidade de forma mais sistemática e a usaram para atingir tudo o que era vulnerável."
A FCC alertou que os roteadores fabricados no exterior se tornaram uma ameaça insustentável à segurança nacional e que os roteadores mal protegidos apresentam "um grave risco de segurança cibernética que poderia ser aproveitado para interromper imediata e severamente a infraestrutura crítica dos EUA e prejudicar diretamente as pessoas dos EUA".
Especialistas argumentaram que poucos novos roteadores de nível de consumidor estariam disponíveis para compra sob esta nova política da FCC (além talvez dos roteadores de Internet via satélite Starlink de Musk, que são produzidos no Texas). A FCC diz que os fabricantes de roteadores podem solicitar uma "aprovação condicional" especial do Departamento de Guerra ou do Departamento de Segurança Interna, e que a nova política não afeta nenhum roteador de nível de consumidor comprado anteriormente.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Hackers ligados às unidades de inteligência militar da Rússia estão usando falhas conhecidas em roteadores de Internet mais antigos para coletar em massa tokens de autenticação de usuários do Microsoft Office, alertaram especialistas em segurança hoje. A campanha de espionagem permitiu que hackers russos, apoiados pelo estado, desviassem silenciosamente tokens de autenticação de usuários em mais de 18.000 redes sem implantar nenhum software ou código malicioso.
A Microsoft disse em um post no blog hoje que identificou mais de 200 organizações e 5.000 dispositivos de consumo que foram pegos em uma rede de espionagem furtiva, mas notavelmente simples, construída por um threat actor apoiado pela Rússia conhecido como "Forest Blizzard".
Como as solicitações de DNS direcionadas foram redirecionadas no roteador. Imagem: Black Lotus Labs.
Também conhecido como APT28 e Fancy Bear, o Forest Blizzard é atribuído às unidades de inteligência militar dentro da Diretoria Principal do Estado-Maior das Forças Armadas da Rússia (GRU). O APT 28 é famoso por ter comprometido a campanha de Hillary Clinton, o Comitê Nacional Democrata e o Comitê de Campanha Democrata do Congresso em 2016, em uma tentativa de interferir nas eleições presidenciais dos EUA.
Pesquisadores do Black Lotus Labs, uma divisão de segurança do provedor de backbone da Internet Lumen, descobriram que, no pico de sua atividade em dezembro de 2025, a rede de vigilância do Forest Blizzard envolveu mais de 18.000 roteadores de Internet que eram principalmente roteadores não suportados, em fim de vida útil ou muito atrasados em atualizações de segurança. Um novo relatório da Lumen diz que os hackers visavam principalmente agências governamentais – incluindo ministérios de relações exteriores, aplicação da lei e provedores de e-mail de terceiros.
O engenheiro de segurança da Black Lotus, Ryan English, disse que os hackers da GRU não precisavam instalar malware nos roteadores visados, que eram principalmente dispositivos Mikrotik e TP-Link mais antigos comercializados para o mercado de Pequenos Escritórios/Escritórios Domésticos (SOHO). Em vez disso, eles usaram vulnerabilidades conhecidas para modificar as configurações do Sistema de Nomes de Domínio (DNS) dos roteadores para incluir servidores DNS controlados pelos hackers.
Como o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido observa em um novo aviso detalhando como os cyber actors russos têm comprometido roteadores, o DNS é o que permite que os indivíduos alcancem sites digitando endereços familiares, em vez de endereços IP associados. Em um ataque de DNS hijacking, os bad actors interferem nesse processo para enviar secretamente os usuários para sites maliciosos projetados para roubar detalhes de login ou outras informações confidenciais.
English disse que os roteadores atacados pelo Forest Blizzard foram reconfigurados para usar servidores DNS que apontavam para um punhado de servidores virtuais privados controlados pelos invasores. É importante ressaltar que os invasores poderiam então propagar suas configurações de DNS maliciosas para todos os usuários na rede local e, a partir desse ponto, interceptar quaisquer OAuth authentication tokens transmitidos por esses usuários.
DNS hijacking por meio de comprometimento do roteador. Imagem: Microsoft.
Como esses tokens são normalmente transmitidos somente depois que o usuário fez login com sucesso e passou pela autenticação multifator, os invasores podem obter acesso direto às contas das vítimas sem nunca ter que fazer phishing das credenciais de cada usuário e/ou códigos únicos.
"Todo mundo está procurando algum malware sofisticado para colocar algo em seus dispositivos móveis ou algo assim", disse English. "Esses caras não usaram malware. Eles fizeram isso de uma maneira antiquada, 'graybeard', que não é realmente sexy, mas faz o trabalho."
A Microsoft se refere à atividade do Forest Blizzard como o uso de DNS hijacking "para dar suporte a ataques adversary-in-the-middle (AiTM) pós-comprometimento em conexões Transport Layer Security (TLS) contra o Microsoft Outlook em domínios da web". A gigante do software disse que, embora o direcionamento a dispositivos SOHO não seja uma tática nova, esta é a primeira vez que a Microsoft vê o Forest Blizzard usando "DNS hijacking em escala para dar suporte ao AiTM de conexões TLS após explorar dispositivos de borda".
O engenheiro do Black Lotus Labs, Danny Adamitis, disse que será interessante ver como o Forest Blizzard reage à enxurrada de atenção de hoje à sua operação de espionagem, observando que o grupo mudou imediatamente suas táticas em resposta a um relatório semelhante do NCSC (PDF) em agosto de 2025. Na época, o Forest Blizzard estava usando malware para controlar um grupo muito mais direcionado e menor de roteadores comprometidos. Mas Adamitis disse que, no dia seguinte ao relatório do NCSC, o grupo rapidamente abandonou a abordagem de malware em favor da alteração em massa das configurações de DNS em milhares de roteadores vulneráveis.
"Antes do último relatório do NCSC ser divulgado, eles usaram essa capacidade em instâncias muito limitadas", disse Adamitis ao KrebsOnSecurity. "Depois que o relatório foi divulgado, eles implementaram a capacidade de forma mais sistemática e a usaram para atingir tudo o que era vulnerável."
A FCC alertou que os roteadores fabricados no exterior se tornaram uma ameaça insustentável à segurança nacional e que os roteadores mal protegidos apresentam "um grave risco de segurança cibernética que poderia ser aproveitado para interromper imediata e severamente a infraestrutura crítica dos EUA e prejudicar diretamente as pessoas dos EUA".
Especialistas argumentaram que poucos novos roteadores de nível de consumidor estariam disponíveis para compra sob esta nova política da FCC (além talvez dos roteadores de Internet via satélite Starlink de Musk, que são produzidos no Texas). A FCC diz que os fabricantes de roteadores podem solicitar uma "aprovação condicional" especial do Departamento de Guerra ou do Departamento de Segurança Interna, e que a nova política não afeta nenhum roteador de nível de consumidor comprado anteriormente.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
