INTERNACIONAL // ESPIONAGEM RUSSONAZI

Campanha do grupo APT28 utiliza vulnerabilidades em equipamentos populares na Europa, como a TP-Link, para criar redes de vigilância indetectáveis.

Ilustração / Infografia: RSF / Gemini AI

O que parece um gesto simples de manutenção técnica é agora uma recomendação de segurança nacional. A Agência de Segurança Nacional dos EUA (NSA, na sigla original), em coordenação com o FBI e agências de cibersegurança europeias, emitiu um alerta urgente: todos os utilizadores domésticos e de pequenos escritórios devem reiniciar os seus routers de Internet pelo menos uma vez por semana.

A medida visa combater uma campanha global de ciberespionagem levada a cabo pelo grupo APT28 (também conhecido como Fancy Bear), uma unidade de elite da espionagem militar russa (GRU). Este grupo tem estado a ‘recrutar’ silenciosamente routers em toda a Europa para criar uma infra-estrutura de ataque que permite o roubo de dados bancários, credenciais de acesso e a monitorização de comunicações privadas.

Embora o alerta tenha contornos globais, a Europa encontra-se numa posição de vulnerabilidade particular devido à saturação de marcas de hardware específicas. Relatórios técnicos recentes indicam que os atacantes estão a explorar activamente falhas em dispositivos da TP-Link, uma das marcas mais vendidas no mercado europeu. Mas na realidade todos os routers estão em risco.

Modelos antigos na mira

As agências de cibersegurança do Reino Unido (NCSC) e da União Europeia (ENISA) alertam que modelos mais antigos e populares, como o TP-Link WR841N, são os mais vulneráveis. Por serem aparelhos que raramente recebem actualizações automáticas, muitos utilizadores continuam a usar versões de software com anos de atraso, deixando a “porta aberta” para a espionagem estatal.

A investigação detalha que os atacantes estão a tirar partido da vulnerabilidade CVE-2023-50224. Esta falha de segurança permite que hackers externos contornem a autenticação do router através de pedidos HTTP maliciosos, ganhando acesso total às configurações do aparelho.

Uma vez dentro do sistema, o grupo Fancy Bear altera as definições de DNS. Na prática, isto significa que um utilizador em Portugal, ao tentar aceder ao seu e-mail ou portal bancário, pode ser redireccionado para uma página falsa sem qualquer aviso, permitindo o roubo imediato de credenciais.

Ao comprometer os aparelhos, os agentes russos conseguem contornar firewalls tradicionais, uma vez que o tráfego malicioso parece originar-se de um endereço IP doméstico legítimo em cidades como Lisboa, Madrid ou Berlim.

Porquê fazer um reboot

A recomendação de reiniciar o equipamento não é um mito urbano. Grande parte do malware moderno utilizado em ataques de “zero-click” é não-persistente, o que significa que reside apenas na memória volátil (RAM) do router. Ao desligar e voltar a ligar o aparelho faz-se a limpeza de memória, pelo que o código malicioso que não conseguiu escrever-se no armazenamento permanente é eliminado, a interrupção de ciclos, quebrando assim a ligação activa entre o router e o servidor de comando dos hackers, bem como a actualização de defesas: muitos equipamentos procuram actualizações de firmware críticas durante o processo de arranque.

Proteger a rede em casa

Especialistas da ENISA (Agência da União Europeia para a Cibersegurança) reforçam que, além do reinício semanal, os utilizadores devem adotar três passos fundamentais:

– Desactivar a gestão remota, o que garante que o painel de controlo do router não é acessível a partir da Internet pública.

– Manter o firmware em dia: Fazer a verificação mensal se o fabricante lançou correcções de segurança.

– Substituir equipamento antigo (legacy): Routers com mais de 5 ou 6 anos que já não recebem actualizações devem ser substituídos, pois são portas abertas para intrusões.

Esta “higiene digital” é hoje em dia considerada essencial num cenário de guerra híbrida, onde o router da casa se pode tornar, sem que o utilizador perceba, uma ferramenta de espionagem de um país adversário.

Diário de Notícias
Ricardo Simões Ferreira
11.04.2026

Visita: