Hackers russos têm explorado roteadores vulneráveis em todo o mundo, de acordo com um anúncio conjunto de várias agências federais em 7 de abril, incluindo o Federal Bureau of Investigation e a Agência de Segurança Nacional, bem como seus homólogos em todo o mundo.
O ataque teve como alvo roteadores de pequenos escritórios/escritórios domésticos, também conhecidos como roteadores SOHO, e foi executado por uma unidade da agência de inteligência militar russa, a GRU.
As agências governamentais estão incentivando as pessoas a seguirem etapas básicas de higiene do roteador, como atualizar para o firmware mais recente e alterar as credenciais de login padrão. O Centro Nacional de Segurança Cibernética do Reino Unido inclui vários roteadores TP-Link especificamente alvo dos hackers.
Embora essa notícia pareça bastante alarmante, vale a pena ter em mente que o ataque comprometeu especificamente os roteadores corporativos, portanto, sua casa Roteador Wi-Fi provavelmente não está em risco. Dito isto, alguns dos roteadores afetados podem ser usados como roteadores domésticos padrão, por isso vale a pena verificar se o seu modelo foi explorado no ataque.
“Há uma grande tendência de exploração de roteadores hoje em dia, e isso vale tanto para o consumidor quanto para roteadores empresariais ou corporativos”, disse Daniel Dos Santos, vice-presidente de pesquisa da empresa de segurança cibernética Forescout, à CNET.
Que tipo de ataque é esse?
Um comunicado de imprensa do NSA observa que o ataque teve como alvo indiscriminadamente um amplo conjunto de roteadores, com o objetivo de coletar informações sobre “infraestruturas militares, governamentais e críticas”.
Este ataque está ligado a agentes de ameaças dentro do GRU russo – que atendem por APT28, Fancy Bear, Forest Blizzard e outros nomes – e está em andamento pelo menos desde 2024, de acordo com o FBI.
É conhecida como operação de sequestro de sistema de nomes de domínio, na qual as solicitações de DNS são interceptadas alterando as configurações de rede padrão em roteadores SOHO, permitindo que os atores vejam o tráfego de um usuário não criptografado.
“Para atores de estados-nação como a Forest Blizzard, o sequestro de DNS permite visibilidade passiva e persistente e reconhecimento em escala”, diz um Relatório de inteligência de ameaças da Microsoft no ataque.
A Microsoft identificou mais de 200 organizações e 5.000 dispositivos de consumo afetados pelo ataque do GRU.
Quais roteadores foram afetados?
O anúncio do FBI refere-se especificamente a um roteador, o TP-Link TL-WR841Num modelo Wi-Fi 4 que foi lançado originalmente em 2007. O Centro Nacional de Segurança Cibernética do Reino Unido lista 23 modelos TP-Link que foram alvo, mas observa que provavelmente não é exaustivo.
Aqui está a lista de dispositivos afetados:
- Roteador TP-Link LTE Wireless N MR6400
- Roteador Gigabit de banda dupla sem fio TP-Link Archer C5
- Roteador Gigabit de banda dupla sem fio TP-Link Archer C7
- Roteador Gigabit de banda dupla sem fio TP-Link WDR3600
- Roteador Gigabit de banda dupla sem fio TP-Link WDR4300
- Roteador de banda dupla sem fio TP-Link WDR3500
- Roteador Wireless Lite N TP-Link WR740N
- Roteador TP-Link Wireless Lite N WR740N/WR741ND
- Roteador TP-Link Wireless Lite N WR749N
- Roteador TP-Link Wireless N 3G/4G MR3420
- Ponto de acesso sem fio N TP-Link WA801ND
- Ponto de acesso sem fio N TP-Link WA901ND
- Roteador TP-Link Wireless N Gigabit WR1043ND
- Roteador TP-Link Wireless N Gigabit WR1045ND
- Roteador Wireless N TP-Link WR840N
- Roteador Wireless N TP-Link WR841HP
- Roteador Wireless N TP-Link WR841N
- Roteador Wireless N TP-Link WR841N/WR841ND
- Roteador Wireless N TP-Link WR842N
- Roteador Wireless N TP-Link WR842ND
- Roteador Wireless N TP-Link WR845N
- Roteador Wireless N TP-Link WR941ND
- Roteador Wireless N TP-Link WR945N
Um porta-voz da TP-Link Systems disse à CNET em um comunicado que todos os modelos afetados atingiram o status de fim de serviço e vida útil há vários anos.
“Embora esses produtos estejam fora do nosso ciclo de vida de manutenção padrão, a TP-Link desenvolveu atualizações de segurança para modelos legados selecionados sempre que for tecnicamente viável”, disse o porta-voz.
A TP-Link está incentivando as pessoas com esses roteadores desatualizados a atualizarem para um dispositivo mais novo, se possível. Você pode encontrar uma lista de patches de segurança disponíveis em seu página de aconselhamento de segurança abordando o ataque recente.
Como manter seu roteador seguro
A NSA encaminhou as organizações para uma lista de práticas recomendadas para proteger sua rede doméstica. A coisa mais importante que você pode fazer se estiver usando um dos dispositivos afetados é atualizar seu roteador o mais rápido possível. Provavelmente não recebe atualizações de firmware há anos, o que é como deixar a porta da sua rede destrancada.
“Quanto mais tempo você continuar fazendo isso, maior será o risco”, disse Rik Ferguson, vice-presidente de inteligência de segurança da Forescout. “O roteador fica em uma posição privilegiada em qualquer rede. Toda a sua comunicação, todo o seu tráfego, tem que passar por esse dispositivo.”
Além de usar um dispositivo mais recente que ainda esteja recebendo atualizações de segurança, existem algumas outras etapas que você pode seguir para bloquear sua rede:
- Atualize seu firmware regularmente: Muitos dispositivos de rede permitem ativar atualizações automáticas de firmware nas configurações. Se esta for uma opção, eu recomendo fazê-lo. Caso contrário, você pode encontrar atualizações para o seu roteador fazendo login na interface da web ou usando o aplicativo.
- Reinicie seu roteador: A orientação da NSA recomenda reiniciar o roteador, smartphone e computadores pelo menos uma vez por semana. “Reinicializações regulares ajudam a remover implantes e garantem a segurança”, afirma a agência.
- Alterar nomes de usuário e senhas padrão: uma das maneiras mais comuns pelas quais os hackers obtêm acesso é tentando credenciais de login padrão definidas pelo fabricante. “Há toda uma economia subterrânea subjacente a tudo isso”, diz Ferguson. “Basicamente, eles apenas coletam credenciais, seja por meio de ataques próprios, ou armazenando-as de outras fontes e comprando-as.” Essa combinação de nome de usuário e senha é diferente do login do seu Wi-Fi, que também deve ser alterado a cada seis meses ou mais. Quanto mais longa e aleatória for sua senha, melhor.
- Desative o gerenciamento remoto: a maioria dos usuários comuns não precisa gerenciar remotamente seu roteador Wi-Fi, e esta é uma das principais maneiras pelas quais os agentes de ameaças podem alterar as configurações do seu roteador sem o seu conhecimento. Normalmente você pode encontrar essa opção em seu configurações de administrador do roteador.
- Use uma VPN: O anúncio do FBI sobre o ataque recomenda especificamente que as organizações com trabalhadores remotos use uma VPN ao acessar dados confidenciais. Esses serviços criptografam seu tráfego conforme ele passa por um servidor remoto, mantendo-o protegido contra hackers.
