CSIS executa primeiro mandado canadense de redução de ameaças e limpa botnets em roteadores e IoT no país

O Canadian Security Intelligence Service (CSIS) executou pela primeira vez um mandado de redução de ameaças autorizado pela Corte Federal canadense para invadir, alterar e destruir dados de duas botnets controladas por Estados estrangeiros que operavam a partir de servidores, roteadores SOHO e dispositivos IoT em solo nacional. A decisão pública, liberada em 15 de junho de 2026 com mais de dois anos de atraso, marca a estreia operacional da agência de inteligência canadense em ações ofensivas de remediação remota e abre um precedente regulatório distinto do modelo americano, que delega esse tipo de operação ao FBI sob supervisão do Departamento de Justiça.

O que aconteceu

A Juíza Catherine Kane, da Corte Federal canadense, concedeu o mandado original em 1 de maio de 2024 e o renovou em agosto do mesmo ano. As razões confidenciais foram emitidas em fevereiro de 2026, mas só agora foi liberada uma versão redigida ao público. O escopo autorizado é amplo: o CSIS pôde alterar, degradar e destruir dados de botnet nos equipamentos infectados e desconectar os dispositivos comprometidos das redes de comando e controle. Os alvos eram servidores canadenses, roteadores small office/home office (SOHO) e dispositivos IoT, incluindo campainhas Ring, câmeras de segurança, televisões e outros aparelhos conectados via Wi-Fi.

A necessidade da ordem judicial decorre de uma restrição clara do Criminal Code canadense: acessar remotamente o dispositivo de terceiros e apagar dados configura computer mischief, tipificado como crime federal. Sem o mandado, o próprio CSIS estaria atuando fora da lei ao tentar limpar as máquinas. A corte analisou três critérios e os considerou atendidos: a ameaça ao Canadá era estabelecida e iminente; as medidas eram necessárias, razoáveis e proporcionais; e a operação atacava dispositivos, não pessoas, sem coleta de identidades nem interceptação de conteúdo, com qualquer dado pessoal varrido incidentalmente destinado a destruição imediata.

Como o ataque funcionava e por que valia a pena interromper

As duas botnets seguiam o roteiro clássico de relay: uma camada superior de comando emitia instruções e uma camada inferior de dispositivos sequestrados em território canadense retransmitia o tráfego, ofuscando a origem do operador estrangeiro. Ao rotear sondagens contra alvos sensíveis através de hardware civil canadense, um Estado adversário consegue se apresentar como uma conexão residencial comum, um trabalhador remoto ou cliente de ISP local, contornando geofiltros e indicadores de origem geográfica usados por defesas perimetrais. O alvo dessas sondagens, segundo o padrão observado pelo Five Eyes nos últimos dois anos, é o conjunto de infraestrutura crítica, governo e militar.

“A operação foi contra dispositivos, não contra pessoas: nenhuma identidade de usuário foi buscada, nenhum conteúdo foi interceptado, e qualquer dado pessoal varrido incidentalmente foi destruído.” — Trecho da decisão pública da Corte Federal canadense

Quem é afetado e quais os limites da remediação

• Donos de roteadores SOHO end-of-life ainda conectados, em particular modelos Cisco, NetGear e Ubiquiti com firmware vencido.
• Operadores de pequenos servidores e dispositivos IoT que mantêm portas de gerenciamento expostas à internet.
• Usuários residenciais com credenciais padrão de fábrica em câmeras, NVRs, TVs e campainhas inteligentes.
• Provedores que hospedam instâncias antigas sem rotina de patching e fingerprint na borda.
• Empresas cuja telemetria de tráfego de saída não distingue conexões de IoT comprometidos no perímetro corporativo.

O limite essencial dessa operação está exposto na própria narrativa: a remoção do malware é cosmética se o defeito estrutural permanece. As ações do CSIS, assim como as operações americanas de 2023 e 2024, deixam intacto o vetor de entrada. Roteadores fora de suporte, IoT sem atualização, credenciais default e painéis de administração acessíveis seguem disponíveis para reinfecção tão logo o dispositivo seja reiniciado ou restaurado de fábrica. Aposentar o hardware morto e endurecer o que continuará em produção segue sendo responsabilidade do proprietário, não da agência que entrou para fazer faxina.

Análise: o mesmo movimento, autoridades diferentes

O paralelo com a Operação KV-botnet do FBI em dezembro de 2023 é direto. Naquele caso, o FBI usou o próprio canal de comando da botnet operada pelo Volt Typhoon, grupo ligado à China, para apagar o malware de centenas de roteadores Cisco e NetGear majoritariamente fora de suporte. Semanas depois, executou operação quase idêntica contra uma rede de roteadores Ubiquiti que o GRU russo, via APT28, havia transformado em relé de espionagem. A geometria operacional é a mesma: hardware civil negligenciado, ator estatal, juiz autorizando a desinfecção remota.

A diferença que importa é institucional. As operações americanas correm sob autoridade de law enforcement, com FBI e DOJ submetidos ao Quarto Aditamento e a doutrinas tradicionais de busca e apreensão. O modelo canadense atribui essa capacidade a uma agência de inteligência sob o CSIS Act, com supervisão judicial mas sem o mesmo rito adversarial. Isso permite mais agilidade, mas levanta questões de controle democrático: os proprietários dos dispositivos desinfectados podem nunca ter sido notificados, e o pedido judicial reportadamente se apoiou em endereços IP coletados sem mandado, semanas após o Supremo Tribunal do Canadá decidir, em R. v. Bykovets, que o endereço IP carrega expectativa razoável de privacidade. Essa contradição segue em aberto.

Para o Brasil e para a América Latina, o caso ilumina um vácuo legal próprio. Não existe na legislação brasileira uma figura jurídica equivalente ao threat reduction warrant, nem clareza institucional sobre qual ator estatal teria competência para uma operação ofensiva análoga — ABIN, Polícia Federal, Comando de Defesa Cibernética ou GSI — e sob que rito processual. Discutir esse arcabouço antes do próximo episódio de prepositioning estatal em roteadores brasileiros é tarefa que o setor público vem postergando.

Recomendações práticas

• Faça inventário ativo de roteadores SOHO e equipamentos IoT em filiais, home office e perímetros remotos. O que não está catalogado não é defendido.
• Substitua imediatamente equipamentos end-of-life sem atualização de firmware há mais de 18 meses; reinício e factory reset não resolvem o problema estrutural.
• Troque todas as credenciais padrão e desabilite acesso de gerenciamento exposto à internet. Use VPN, acesso fora de banda ou ZTNA para administração.
• Monitore tráfego de saída de IoT e roteadores residenciais corporativos buscando conexões persistentes para hosts incomuns, protocolos não esperados e janelas horárias atípicas.
• Implemente segmentação rigorosa: dispositivos IoT em VLAN isolada sem rota para ativos críticos.
• Acompanhe avisos do CISA, NCSC, CCCS e do CTI Brasil sobre IoCs de Volt Typhoon, APT28 e operações de prepositioning.
• Para empresas com presença internacional, mapeie qual jurisdição autoriza remediação remota e prepare protocolos de comunicação caso receba notificação oficial sobre dispositivos sob sua responsabilidade.

Fonte: The Hacker News