FSB é responsabilizado por ataque à rede elétrica da Polônia; UE e Reino Unido aplicam sanções
- Cyber Security Brazil
- há 2 minutos
- 6 min de leitura

A União Europeia e o Reino Unido atribuíram formalmente ao Centro 16 do Serviço Federal de Segurança da Rússia, o FSB, uma operação de sabotagem cibernética contra o setor energético da Polônia. O ataque, ocorrido em dezembro de 2025, chegou perto de provocar interrupções de energia que poderiam afetar cerca de 500 mil pessoas durante o inverno europeu.
A atribuição foi anunciada em 13 de julho de 2026, juntamente com o primeiro pacote de sanções cibernéticas adotado de forma coordenada pela UE e pelo governo britânico. As medidas procuram atingir integrantes de serviços de inteligência, operadores de malware, empresas privadas, hackers e organizações acusadas de apoiar os objetivos estratégicos de Moscou.
Segundo a União Europeia, o Centro 16 é o braço de inteligência de sinais do FSB e controla diferentes grupos de ameaça, incluindo o Turla, também conhecido por nomes como Snake e Venomous Bear. A unidade foi responsabilizada por operações de espionagem, infiltração em redes governamentais e tentativas de sabotagem contra infraestruturas críticas.
As atividades atribuídas ao ecossistema cibernético russo teriam atingido, nos últimos anos, França, Alemanha, Polônia, Chipre, Países Baixos, Áustria, Eslováquia, Romênia e Finlândia, além da Ucrânia e de outros parceiros europeus.
“Condenamos firmemente o comportamento da Rússia e o uso indevido desse ecossistema cibernético, que tem como alvos serviços públicos e infraestruturas críticas, provocando interrupções e perdas financeiras”, afirmou a chefe da diplomacia da União Europeia, Kaja Kallas.
Ataque tentou comprometer infraestrutura energética
O incidente polonês ocorreu em 29 de dezembro de 2025 e envolveu ataques coordenados contra instalações do setor de energia. A análise técnica do CERT Polska identificou ações destrutivas contra sistemas de geração distribuída e uma usina de cogeração, infraestrutura responsável pela produção combinada de eletricidade e calor.
Em parte dos ambientes atacados, os invasores encontraram equipamentos industriais da Moxa com interfaces administrativas expostas e credenciais padrão. Os responsáveis utilizaram esse acesso para restaurar dispositivos às configurações de fábrica, alterar senhas e definir endereços IP inválidos, dificultando a recuperação operacional.
Em uma das instalações, o objetivo teria sido destruir de forma irreversível dados armazenados na rede interna por meio de um malware do tipo wiper. Diferentemente de um ransomware, que normalmente criptografa arquivos para exigir pagamento, um wiper busca apagar ou inutilizar dados e sistemas.
A invasão foi precedida por um período prolongado de acesso à infraestrutura e roubo de informações sensíveis. Os hackers conseguiram comprometer contas privilegiadas no Active Directory, o que permitiu movimentação lateral pelos sistemas da organização.
O código destrutivo foi distribuído por meio de Group Policy Objects, ou GPOs, recurso legítimo utilizado por administradores para aplicar configurações e executar tarefas em máquinas de um domínio Windows. A solução de EDR implantada pela organização detectou e bloqueou a atividade maliciosa antes que o wiper concluísse o ataque.
Disputa inicial sobre a autoria
As primeiras análises publicadas por empresas de cibersegurança associaram o ataque ao Sandworm, grupo historicamente vinculado ao serviço de inteligência militar russo, o GRU. O Sandworm é conhecido por operações destrutivas contra infraestrutura crítica, incluindo ataques anteriores ao sistema elétrico da Ucrânia.
O CERT Polska, entretanto, contestou essa atribuição inicial depois de analisar a infraestrutura utilizada na invasão. Os investigadores encontraram conexões com um conjunto de servidores e atividades anteriormente relacionado ao FSB, conclusão posteriormente adotada na atribuição pública da União Europeia e do Reino Unido.
A atribuição de ataques cibernéticos costuma combinar indicadores técnicos, infraestrutura de comando e controle, métodos operacionais, histórico dos grupos, informações de inteligência e interesses estratégicos. Como diferentes unidades russas podem utilizar ferramentas semelhantes ou compartilhar recursos, divergências entre análises iniciais são possíveis.
Além do setor energético, o serviço de inteligência doméstica da Polônia informou que invasões contra instalações de tratamento de água criaram risco direto à continuidade do abastecimento no país.
Operações atingiram governos e organizações europeias
A França também anunciou medidas adicionais e informou que convocaria o embaixador russo para prestar esclarecimentos sobre atividades persistentes de espionagem cibernética.
Um relatório técnico do Centro de Coordenação de Crises Cibernéticas da França, conhecido como C4, detalhou operações atribuídas ao Centro 16 e identificou 11 centros de interceptação ligados ao braço de inteligência de sinais do FSB em território russo.
Entre eles está a Unidade 61240, descrita pelas autoridades francesas como uma estrutura dedicada a operações contra alvos na França. Duas empresas russas, AO AST e NPP Gamma, foram acusadas de fornecer suporte às atividades ofensivas da unidade.
As autoridades francesas relacionaram o FSB a ataques contra sistemas de ministérios em 2014, à rede da Embaixada da França em Moscou em 2018 e a um instituto de pesquisa ligado à indústria de defesa francesa em fevereiro de 2025. Nesse último incidente, um volume significativo de informações teria sido roubado.
Um dos grupos incluídos nas sanções também teria reivindicado ações de desestabilização relacionadas aos Jogos Olímpicos e Paralímpicos de Paris de 2024. O governo francês declarou que pretende utilizar os instrumentos disponíveis para responder a operações cibernéticas maliciosas antes das eleições nacionais de 2027.
Alerta conjunto destaca roteadores mal configurados
Estados Unidos e agências de segurança de aproximadamente uma dúzia de países aliados também publicaram um alerta técnico conjunto sobre as operações do Centro 16.
Segundo o documento, os hackers continuam explorando dispositivos de rede vulneráveis ou configurados de forma inadequada. A atividade inclui varreduras em larga escala da internet em busca de roteadores protegidos por senhas padrão, credenciais fracas, softwares desatualizados e serviços de administração expostos.
Depois de comprometer esses equipamentos, os operadores podem utilizá-los como infraestrutura intermediária para ocultar a origem das conexões, acessar redes de interesse ou apoiar operações de espionagem. O uso de roteadores legítimos comprometidos dificulta a detecção porque o tráfego malicioso parece vir de dispositivos comuns localizados em outros países.
O alerta recomenda eliminar credenciais padrão, utilizar senhas fortes e exclusivas, instalar atualizações de segurança, desativar interfaces administrativas desnecessárias e restringir o gerenciamento remoto. Organizações também devem revisar equipamentos que não recebem mais suporte do fabricante e monitorar alterações incomuns nas configurações.
Lumma Stealer também entra nas sanções
O Reino Unido incluiu no pacote pessoas associadas ao Lumma Stealer, uma das famílias de malware de roubo de informações mais utilizadas por grupos de cibercrime.
O malware é projetado para extrair credenciais armazenadas em navegadores, cookies de sessão, carteiras de criptomoedas e outras informações presentes em computadores infectados. Esses dados podem ser comercializados ou utilizados para invadir contas corporativas e pessoais.
Segundo autoridades britânicas, credenciais roubadas pelo Lumma foram utilizadas para apoiar operações russas de espionagem em diferentes países. A National Crime Agency informou que mais de 2.100 vítimas no Reino Unido foram infectadas pelo malware nos seis meses anteriores ao anúncio.
As sanções britânicas contra os operadores do Lumma incluem congelamento de ativos, proibição de entrada no país e impedimento para exercer cargos de direção em empresas.
O governo britânico acusa os serviços russos de recorrer a criminosos digitais para coletar informações relacionadas aos objetivos militares e de política externa de Moscou. Esse modelo permite que o Estado utilize grupos intermediários e mantenha algum nível de distanciamento formal das operações.
Sanções alcançam mais de 30 alvos
Consideradas em conjunto, as medidas da União Europeia e do Reino Unido atingem mais de 30 pessoas e organizações associadas ao ecossistema cibernético russo.
A UE aplicou restrições a nove indivíduos e quatro entidades, incluindo agentes de inteligência, criminosos digitais, hacktivistas e empresas acusadas de viabilizar operações maliciosas. O bloco descreveu o pacote como o maior conjunto de sanções cibernéticas já adotado por suas instituições.
O Reino Unido sancionou 24 indivíduos e entidades. Entre os alvos estão dirigentes e integrantes da Unidade 29155 do GRU, operadores do Lumma Stealer, empresas acusadas de recrutar especialistas em universidades russas e pessoas associadas ao blog militar pró-Kremlin Rybar.
Dez pessoas relacionadas ao Rybar foram incluídas nas medidas britânicas. O Reino Unido acusa o veículo de disseminar desinformação sobre a Ucrânia e interferir em processos eleitorais na Moldávia e na Armênia.
A ministra das Relações Exteriores do Reino Unido, Yvette Cooper, afirmou que as sanções pretendem atingir as redes criminosas que sustentam as atividades agressivas do Estado russo e demonstrar que Moscou não pode se esconder atrás de grupos intermediários.
A Rússia nega repetidamente conduzir operações cibernéticas ofensivas contra países ocidentais. O presidente Vladimir Putin classificou acusações europeias de sabotagem e ataques digitais como infundadas e afirmou que elas seriam utilizadas para justificar políticas hostis contra Moscou.