Hackers Russos Estão Sequestrando as Configurações de DNS de Roteadores Domésticos

Hackers Militares Russos Visam Roteadores Domésticos e de Escritório

Uma sofisticada campanha de sequestro de DNS vinculada ao exército russo comprometeu mais de 5.000 dispositivos domésticos e mais de 200 organizações, de acordo com novos relatos de pesquisadores de segurança cibernética. O agente de ameaça por trás dos ataques, conhecido como Forest Blizzard (também rastreado como APT28 ou Strontium), tem ligações com a inteligência militar russa e tem sido ativo em invasões de alto perfil há anos.

O método de ataque é simples, mas altamente eficaz. Em vez de ter como alvo diretamente computadores ou telefones individuais, o grupo modifica as configurações de DNS em roteadores domésticos e de pequenos escritórios. Uma vez que um roteador é comprometido, cada dispositivo conectado a ele — laptops, telefones, smart TVs, computadores de trabalho — torna-se um alvo em potencial.

Como o Sequestro de DNS Realmente Funciona

O DNS, ou Sistema de Nomes de Domínio, é às vezes descrito como a lista telefônica da internet. Quando você digita o endereço de um site no seu navegador, seu dispositivo consulta um servidor DNS para encontrar o endereço IP numérico necessário para se conectar. Em circunstâncias normais, essa consulta vai para um servidor DNS confiável, frequentemente um fornecido pelo seu provedor de serviços de internet.

Quando os invasores modificam a configuração de DNS de um roteador, eles redirecionam essas consultas para servidores que controlam. A partir daí, eles podem ver exatamente quais sites você está tentando visitar e, em alguns casos, interceptar o tráfego real. Os pesquisadores descobriram que esse método permitiu ao Forest Blizzard capturar dados em texto simples, incluindo e-mails e credenciais de login de dispositivos conectados aos roteadores comprometidos.

Isso é particularmente preocupante porque muitos usuários presumem que suas comunicações estão protegidas simplesmente por usarem sites HTTPS ou serviços de e-mail criptografados. Mas quando o DNS é sequestrado no nível do roteador, os invasores ganham visibilidade sobre os fluxos de tráfego e podem, sob certas condições, eliminar essa proteção.

Quem É o Forest Blizzard?

O Forest Blizzard, também conhecido pelos aliases APT28 e Strontium, é amplamente atribuído à agência de inteligência militar GRU da Rússia. O grupo tem sido associado a ataques contra agências governamentais, contratantes de defesa, organizações políticas e infraestruturas críticas na Europa e na América do Norte.

Esta campanha representa uma mudança de táticas em direção à infraestrutura de uso doméstico. Roteadores domésticos e de pequenos escritórios são frequentemente negligenciados do ponto de vista da segurança. Raramente recebem atualizações de firmware, frequentemente operam com credenciais padrão e normalmente não são monitorados por equipes de segurança de TI. Isso os torna pontos de entrada atraentes para um grupo que busca interceptar comunicações em larga escala.

Comprometer roteadores também permite que os invasores mantenham acesso persistente. Mesmo que um malware seja removido de um dispositivo individual, um roteador comprometido continua redirecionando o tráfego até que o próprio roteador seja limpo e reconfigurado.

O Que Isso Significa Para Você

Se você usa um roteador doméstico ou de pequeno escritório padrão, esta campanha é diretamente relevante para você, mesmo que não seja um funcionário do governo ou um provável alvo de espionagem. A escala do ataque — mais de 5.000 dispositivos domésticos — sugere que os alvos são amplos, e não cirúrgicos.

Há várias medidas práticas que vale a pena tomar em resposta a esta notícia.

Verifique as configurações de DNS do seu roteador. Faça login no painel de administração do seu roteador (normalmente em 192.168.1.1 ou 192.168.0.1) e verifique se os servidores DNS listados são aqueles que você reconhece e nos quais confia. Se você vir endereços IP desconhecidos que você mesmo não configurou, isso é um sinal de alerta.

Atualize o firmware do seu roteador. Os fabricantes de roteadores lançam periodicamente atualizações de firmware que corrigem vulnerabilidades de segurança. Muitos roteadores têm uma opção para verificar atualizações diretamente no painel de administração. Se o seu roteador tiver vários anos e o fabricante não oferecer mais suporte, considere substituí-lo.

Altere a senha de administrador padrão do seu roteador. As credenciais padrão são amplamente divulgadas e estão entre as primeiras coisas que os invasores tentam. Uma senha forte e exclusiva para a interface de administração do seu roteador aumenta significativamente a barreira de entrada.

Use uma VPN com proteção contra vazamento de DNS. Uma VPN roteia seu tráfego, incluindo consultas de DNS, por meio de um túnel criptografado para servidores fora da sua rede local. Mesmo que o DNS do seu roteador tenha sido adulterado, uma VPN com proteção adequada contra vazamento de DNS garante que suas consultas sejam resolvidas pelos servidores do provedor de VPN, e não pelos de um invasor. Isso não torna um roteador comprometido seguro, mas limita significativamente o que um invasor pode observar ou interceptar.

Considere usar DNS criptografado de forma independente. Serviços que suportam DNS sobre HTTPS (DoH) ou DNS sobre TLS (DoT) criptografam suas consultas de DNS mesmo sem uma VPN, tornando-as mais difíceis de interceptar ou redirecionar.

A campanha do Forest Blizzard é um lembrete de que a segurança de rede começa no roteador. Os dispositivos que conectam sua casa ou escritório à internet merecem a mesma atenção que os computadores e telefones em sua mesa. Mantê-los atualizados, devidamente configurados e monitorados não é opcional — é o alicerce sobre o qual todo o resto se sustenta. Se você não revisou as configurações do seu roteador recentemente, agora é um bom momento para começar.