Três capitais mexeram-se na mesma segunda-feira
Em dezembro de 2025, a meio do inverno, um ataque às infraestruturas energéticas da Polónia chegou suficientemente perto de resultar para que os governos digam hoje o que teria provocado: cortar a eletricidade a cerca de 500 000 civis. Não resultou. A 13 de julho de 2026, a Europa disse em voz alta quem tentou.
A UE e o Reino Unido anunciaram sanções coordenadas no mesmo dia. O Reino Unido designou 24 pessoas e entidades. A UE listou nove pessoas e quatro entidades, naquele que o chefe da diplomacia da União classificou como o maior pacote de sanções cibernéticas alguma vez adotado pelo bloco. Trinta e três alvos ao todo, com congelamento de bens, proibição de viajar e proibição de colocar fundos ou recursos económicos à disposição de qualquer um deles.
Os nomes são concretos. Três oficiais do GRU: Vyacheslav Stafeyev, Ivan Senin, Ivan Kasyanenko. A operação de bulletproof hosting Media Land LLC e a sua afiliada ML.Cloud, ligadas a prejuízos com ransomware e phishing em toda a Europa. A Z-Pentest, que segundo o Conselho foi atrás de infraestruturas críticas, incluindo energia e água. Dez pessoas por trás da Rybar LLC. Os operadores do Lumma Stealer, malware de roubo de credenciais. E, por trás do ataque à rede polaca, uma unidade: o Centro 16 do FSB.
As sanções são uma declaração sobre o passado. O que saiu no mesmo dia é uma declaração sobre a sua rede.
A via de entrada não teve nada de engenhoso
O National Cyber Security Centre britânico publicou um aviso conjunto com outros doze países - Estados Unidos, Austrália, Canadá, Chéquia, Dinamarca, Estónia, Finlândia, França, Itália, Nova Zelândia, Polónia e Suécia - a descrever como o Centro 16 do FSB entra de facto. Portugal não consta entre os signatários, o que não retira nada à utilidade técnica do documento. O grupo é seguido há anos sob uma prateleira de nomes: Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Static Tundra.
As técnicas são a parte dececionante. Varrimento à escala da Internet à procura do Simple Network Management Protocol com community strings por omissão ou fracas. Abuso do Cisco Smart Install, uma funcionalidade de aprovisionamento pensada para facilitar a instalação de switches e que a maioria das organizações nunca desligou depois de instalar. Vulnerabilidades conhecidas e já publicadas nos portais web dos equipamentos de rede. Setores visados: comunicações, defesa, energia, serviços financeiros, administração pública, saúde.
Não há nada de exótico nessa lista. Um serviço de informações de um Estado entra tranquilamente em infraestruturas críticas através de configurações por omissão e de equipamento de fronteira por atualizar, porque funciona e porque não faz barulho. Os equipamentos de rede não correm um agente de endpoint. Não aparecem na maioria das análises de vulnerabilidades. Quando um deles é comprometido, ninguém recebe um alerta, porque naquela caixa não há nada que o gere.
As medidas de mitigação do aviso são igualmente simples: passar para SNMPv3 e desativar as versões antigas, usar palavras-passe fortes e únicas nos equipamentos de rede, restringir o acesso aos protocolos de gestão e desligar o Smart Install.
Porque é que um bug de 2008 recebeu um prazo de três dias
Nesse mesmo 13 de julho, os Estados Unidos acrescentaram exatamente uma vulnerabilidade ao seu catálogo de vulnerabilidades exploradas conhecidas. Não um zero-day acabado de sair. A CVE-2008-4128, uma falha de cross-site request forgery no Cisco IOS, divulgada em 2008. O prazo de remediação associado era 16 de julho: três dias.
Uma entrada nesse catálogo quer dizer uma coisa só. Não é uma pontuação teórica de gravidade nem a prova de conceito de um investigador. Quer dizer que a falha está a ser explorada no terreno, agora, e o catálogo que a acolhe ultrapassou os 1 638 registos com esta adição. O prazo de três dias vincula as agências federais norte-americanas, mas o sinal que envia não é administrativo. Um bug com dezoito anos não recebe um relógio de emergência porque alguém o redescobriu. Recebe-o porque está a ser usado.
Ponha os dois documentos lado a lado e a imagem ganha foco. O aviso diz que um ator estatal vive nos equipamentos de rede. O catálogo diz que a porta concreta é uma falha da Cisco com idade suficiente para votar. Nada nesta campanha exigiu que alguém inventasse seja o que for. Exigiu apenas que o defensor nunca olhasse para o switch.
De quem é o router?
Faça essa pergunta dentro da sua organização e veja o que acontece. Os servidores têm um dono, um ciclo de atualizações e um agente de monitorização. Os portáteis têm um responsável de frota. O router no bastidor, o switch da filial, a firewall que o prestador de serviços geridos instalou há quatro anos e onde nunca mais entrou: esses costumam pertencer a quem os configurou, o que muitas vezes significa alguém que já não trabalha na empresa.
Essa lacuna passou a ser também jurídica. Ao abrigo da NIS2, as entidades essenciais e importantes têm de gerir o risco em todos os sistemas de rede e de informação que utilizam, e os equipamentos de rede fazem parte disso sem qualquer ambiguidade. Em Portugal, o CNCS, o Centro Nacional de Cibersegurança, é a autoridade nacional de referência para esse dever e para os avisos técnicos que o acompanham. Um regulador que pergunte como supervisiona os seus fornecedores e a sua infraestrutura não vai aceitar que o equipamento de fronteira tenha caído no vazio entre a equipa interna e a equipa contratada. O mesmo vale para a relação com o prestador de serviços geridos: se é ele que opera os seus equipamentos de rede, a higiene de configuração dele é a sua exposição ao risco, e o contrato é o sítio onde isso está ou não está tratado.
Para quem trabalha em energia, água, transportes, saúde ou infraestrutura digital, este aviso não é material de sensibilização genérica. Nomeia o seu setor, nomeia o protocolo e vem acompanhado de uma lista de pessoas designadas que o estavam a fazer.
O que fazer esta semana
Primeiro o inventário, porque não se corrige o que não está listado. Todos os switches geridos, routers, firewalls e appliances de rede, incluindo os das filiais e os que um fornecedor instalou. Se esse inventário não existe, construí-lo é o trabalho da semana e vale mais do que qualquer ferramenta que se possa comprar em vez dele.
Depois, três ações concretas retiradas do aviso. Desativar o Cisco Smart Install onde quer que continue ligado, o que na maioria dos parques significa onde quer que alguma vez tenha estado ligado. Passar o SNMP para a versão 3, com autenticação e cifragem, e desativar as versões 1 e 2c, que transmitem as community strings em claro. Retirar as interfaces de gestão de qualquer caminho alcançável a partir da Internet e colocá-las atrás de um segmento de rede controlado.
Por fim, verifique se os seus equipamentos de rede produzem registos que alguém lê. Esta campanha durou porque um equipamento de rede comprometido é silencioso. Um router reconfigurado tem exatamente o mesmo aspeto de um router intacto, a não ser que alguém o esteja a comparar com uma configuração dada como boa.
Nada disto é conselho novo. É precisamente esse o ponto, e é por isso que treze governos sentiram a necessidade de o dizer em conjunto.
Leia a seguir: A primeira plataforma de agentes de IA que a CISA obriga a corrigir | 430.000 firewalls viraram linha de ransomware



