O serviço de inteligência do Canadá obteve autorização de um juiz para acessar servidores infectados, roteadores domésticos e equipamentos de Internet das Coisas localizados em território canadense e neutralizar duas botnets operadas por estrangeiros.
A versão pública da decisão foi divulgada pelo Tribunal Federal em 15 de junho.
Esta é a primeira vez que o Canadian Security Intelligence Service, o CSIS, usa dessa forma seus poderes de ordem para redução de ameaças.
A autorização permitiu ao CSIS alterar, degradar e destruir dados da botnet nos dispositivos infectados e desligar os equipamentos das redes às quais estavam conectados.
Os alvos eram servidores sediados no Canadá, roteadores de pequenas e médias empresas e residências, conhecidos como SOHO, além de dispositivos de Internet das Coisas, como campainhas Ring, câmeras de segurança, televisores e outros aparelhos com conexão Wi-Fi.
A juíza Catherine Kane concedeu a ordem em 1º de maio de 2024, renovou-a em agosto do mesmo ano e apresentou as razões sigilosas em fevereiro de 2026.
O caso permaneceu fora do olhar público por mais de dois anos, até a divulgação com trechos suprimidos neste mês.
O CSIS precisou da autorização porque a limpeza provavelmente seria crime sem ela.
Acessar o dispositivo de outra pessoa e apagar dados se enquadra como dano informático no Código Penal, então o serviço precisou de aval judicial antes de tocar nas máquinas.
O tribunal considerou a ameaça ao Canadá claramente estabelecida e iminente, e classificou as medidas como necessárias, razoáveis e proporcionais.
A decisão ressaltou que a operação mirou os dispositivos, não as pessoas.
Nenhuma identidade de usuário foi buscada, nenhum conteúdo foi interceptado e quaisquer dados pessoais capturados incidentalmente foram destruídos.
As duas botnets funcionavam no modelo clássico de retransmissão.
Uma camada de comando emitia as ordens, enquanto uma camada de dispositivos infectados repassava o tráfego.
Ao passar por hardware sequestrado no Canadá, um Estado estrangeiro pode parecer uma conexão comum, um trabalhador em casa ou um cliente de provedor de internet, enquanto faz reconhecimento em redes de infraestrutura crítica, governo e setor militar.
O dono da campainha infectada acaba parecendo responsável por tráfego que nunca enviou.
O tribunal apontou o setor de energia entre os alvos e alertou que os adversários poderiam direcionar as botnets para sondar e até interromper a infraestrutura canadense.
A decisão pública esclarece o principal ponto: havia dois adversários estrangeiros e, na visão da Justiça, uma ameaça à segurança do Canadá.
O que ela não revela é a autoria exata.
O momento e a técnica coincidem com um episódio específico do início de 2024, mas, segundo o The Bureau, veículo que revelou a decisão, não é possível determinar pelas razões com tarjas se as duas botnets eram chinesas, russas ou uma de cada.
A atuação de um Estado estrangeiro é um fato reconhecido.
A identificação é que permanece ocultada.
Mesma tática, outra autoridade
Esse momento coincidiu com uma série de limpezas de botnets ordenadas pela Justiça nos Estados Unidos.
Em uma operação de dezembro de 2023, o FBI usou o próprio canal de comando da botnet para apagar o malware KV-botnet de centenas de roteadores SOHO nos EUA, em sua maioria equipamentos Cisco e NetGear já fora de linha, que o Volt Typhoon, grupo ligado à China, estava usando para esconder acessos implantados antecipadamente, em preparação para uma possível crise em setores americanos de comunicação, energia, água e transporte.
Semanas depois, o órgão realizou uma operação quase idêntica contra outra rede de roteadores Ubiquiti, que a GRU da Rússia, por meio do grupo APT28, havia transformado em uma estrutura de retransmissão para espionagem.
O centro cibernético do Canadá já havia se juntado aos alertas de aliados sobre o uso abusivo de equipamentos SOHO e de Internet das Coisas por agentes estatais.
O formato das duas respostas foi o mesmo: hardware doméstico negligenciado, um operador estatal e um juiz autorizando a desinfecção remota.
A diferença está em quem detém a ordem.
As operações americanas foram conduzidas por órgãos de aplicação da lei, com o FBI e o Departamento de Justiça, sob autoridade de busca e apreensão.
No Canadá, trata-se de um serviço de inteligência usando medidas de redução de ameaças, um poder do CSIS para desestabilizar ativamente uma ameaça, e não apenas coletar informações sobre ela.
Esse mecanismo foi incluído na lei do CSIS anos atrás e reformulado pela National Security Act, de 2017, que entrou em vigor em 2019.
Até agora, o serviço nunca havia recorrido a ele dessa maneira.
No fim, tudo ainda gira em torno de roteadores antigos
A lição para os defensores é a mais óbvia.
As botnets prosperam em cima dos equipamentos que ninguém mantém: roteadores fora de linha ainda conectados à rede, kits de Internet das Coisas que nunca receberam a última atualização de firmware e qualquer dispositivo exposto à internet com credenciais padrão e painel de administração acessível.
Uma limpeza feita pelo governo não resolve isso.
Nas operações dos EUA, o malware foi removido, mas as fraquezas permaneceram, e uma reinicialização ou restauração de fábrica poderia desfazer a correção e reabrir a porta para nova infecção.
Desativar o hardware obsoleto e reforçar o que permanecer em uso continua sendo responsabilidade do dono, não da agência que apagou a ameaça.
Há ainda uma questão em aberto na decisão pública.
Segundo o The Bureau, o pedido se apoiou em endereços IP coletados pelo CSIS sem mandado, semanas depois de a Suprema Corte do Canadá decidir, no caso R.v.Bykovets, que um endereço IP carrega uma expectativa razoável de privacidade.
Se isso está alinhado aos poderes de coleta do CSIS e se os donos dos dispositivos desinfectados foram informados, ainda não está claro.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...