Reino Unido e UE sancionam FSB pelo ataque à rede elétrica polonesa: primeira ação coordenada contra o Centro 16 mira infraestrutura crítica europeia
Reino Unido e UE atribuíram formalmente ao FSB russo o ataque que quase apagou meio milhão de casas na Polônia no inverno passado. O pacote de sanções, o primeiro conjunto entre os blocos, também mira operadores do infostealer Lumma.
Reino Unido e União Europeia impuseram nesta segunda-feira (13/07/2026) o primeiro pacote conjunto de sanções cibernéticas da história contra a Rússia, atribuindo formalmente ao Serviço Federal de Segurança russo (FSB) o ataque que ameaçou cortar aquecimento de meio milhão de poloneses no inverno passado. O ataque de dezembro chegou “muito perto” de causar um blackout na rede elétrica polonesa, segundo autoridades britânicas, e faz parte de uma campanha de sabotagem que atingiu ao menos dez países europeus — incluindo França, Alemanha, Chipre, Holanda, Áustria, Eslováquia, Romênia e Finlândia.
O que aconteceu
Os aliados apontaram o Centro 16, braço de inteligência de sinais do FSB, como responsável pelas tentativas de sabotagem cibernética contra o setor energético e as estações de tratamento de água da Polônia, ao lado de “uma ampla gama de atividades cibernéticas maliciosas com severidade crescente”. Segundo o comunicado da União Europeia, o mesmo grupo tem promovido “infiltração de redes governamentais e sabotagem de infraestrutura crítica” em uma faixa que se estende por boa parte da Europa continental.
O ataque à rede elétrica polonesa de dezembro passado foi descrito por um ministro sênior polonês, à época, como algo que “chegou muito perto” de provocar um apagão. Autoridades britânicas foram além nesta segunda: chamaram o incidente de “imprudente” e alertaram que operações desse tipo poderiam causar mortes se cortarem aquecimento no auge do inverno europeu.
Paralelamente ao pacote anglo-europeu, os Estados Unidos publicaram um alerta conjunto de cibersegurança co-assinado por agências de inteligência e segurança de uma dúzia de países aliados. O documento revela que operadores do Centro 16 do FSB estão varrendo a internet em busca de dispositivos protegidos por credenciais padrão ou fracas — uma tática de reconhecimento em massa que precede as ondas de comprometimento e movimentação lateral.
Detalhes da operação: espionagem, sabotagem e Lumma Stealer
O Reino Unido também sancionou indivíduos por trás do Lumma Stealer, malware que rouba credenciais de computadores infectados e se tornou uma das ferramentas de infostealer mais utilizadas do mundo. Segundo autoridades britânicas, credenciais furtadas pelo Lumma têm sido usadas pela Rússia para sustentar operações de espionagem globalmente. A National Crime Agency britânica afirma que mais de 2.100 vítimas foram infectadas por Lumma Stealer só no Reino Unido nos últimos seis meses — sem contar as centenas de milhares de detecções em outros países.
O padrão operacional descrito pelas agências ocidentais combina três frentes: (1) varredura de internet e comprometimento inicial de dispositivos com credenciais fracas ou expostas, (2) exfiltração massiva de credenciais por meio de infostealers como o Lumma, e (3) operações mais dirigidas de sabotagem contra infraestrutura crítica quando o acesso obtido permite. O apagão evitado na Polônia se enquadraria nessa terceira categoria — a resultante mais grave, com potencial para vítimas civis diretas.
“Enquanto a Rússia luta para sustentar seu esforço de guerra fracassado na Ucrânia, as agências de inteligência russas foram encarregadas de expandir a coleta de credenciais e a preparação do terreno para sabotagem. Esta é uma escalada perigosa que exigia resposta coordenada dos aliados.”
Comunicado do governo britânico, 13 de julho de 2026
Quem foi afetado e o que muda com as sanções
- Polônia: alvo principal, com ataques ao setor elétrico e a estações de tratamento de água
- França e Alemanha: ministérios governamentais e infraestrutura de comunicações
- Chipre, Holanda, Áustria, Eslováquia, Romênia, Finlândia: infiltração de redes governamentais e operadores de serviços críticos
- Reino Unido: mais de 2.100 vítimas do Lumma Stealer em seis meses, incluindo empresas e cidadãos
- Cerca de 10 países europeus: sabotagem em ministérios, empresas e operadores de serviços críticos, segundo Paris
As sanções congelam ativos dos indivíduos designados no Reino Unido e na UE, proíbem que residentes de ambos os blocos façam negócios com eles e imprimem um custo político-diplomático adicional ao FSB. Do ponto de vista prático, oficiais russos raramente possuem ativos declarados em jurisdições ocidentais, mas o pacote conjunto sinaliza um alinhamento de política externa entre Londres e Bruxelas que faltava desde o Brexit.
Análise: um Cinco Olhos ampliado e o precedente da atribuição pública
O que torna este pacote de sanções especialmente relevante não é sua severidade financeira — provavelmente limitada — mas sim o modelo diplomático que estabelece. Pela primeira vez, Reino Unido e União Europeia atuam em uníssono com atribuição pública, algo que na década passada era feito apenas pelos Cinco Olhos (EUA, Reino Unido, Canadá, Austrália, Nova Zelândia). A adição formal de UE + países aliados como Alemanha, França e Polônia cria um bloco de atribuição de 15 a 20 países, elevando o custo reputacional de negar autoria.
Também vale registrar a evolução da retórica: em 2020, ataques atribuídos a grupos russos costumavam ser descritos como “preocupantes” ou “inaceitáveis”. Hoje, autoridades britânicas usam “imprudente” e alertam explicitamente para potenciais mortes civis. Este vocabulário é o mesmo que precedeu os pacotes contra Kim Il-jong Group e Sandworm em 2018-2020 — um sinal de que o Ocidente considera a linha de sabotagem de infraestrutura crítica como um limite categórico.
Para operadores brasileiros de infraestrutura crítica, a mensagem é indireta mas clara: a mesma tática de reconhecimento em massa por credenciais fracas em dispositivos expostos à internet, seguida por infostealer e escalonamento, é replicável e tem sido observada em outras geografias — incluindo América Latina. A ANPD, o CTIR-Gov e operadores de setor energético devem ler o alerta técnico co-assinado pelos EUA com atenção operacional.
Recomendações práticas para defensores
- Auditar credenciais expostas: verifique se dispositivos de gerência (VPN, RDP, KVM, iDRAC/iLO/BMC) estão publicamente acessíveis com senhas padrão ou fracas.
- Rotacionar credenciais: se houve infecção por infostealer no perímetro, presuma que credenciais foram vazadas e force reset em toda a base.
- MFA obrigatório: para acesso remoto, VPN e admin. O Lumma Stealer captura cookies de sessão, então MFA baseado em hardware (FIDO2) é preferível a SMS.
- Segmentação OT/IT: se opera infraestrutura crítica, revalidar a separação entre redes corporativas e SCADA/ICS.
- Detecção de infostealers: incluir IoCs de Lumma Stealer nas regras de EDR/SIEM. As agências publicaram hashes, IPs de C2 e domínios no alerta conjunto.
- Compartilhar inteligência: participar de ISACs setoriais e da rede CTIR-Gov permite receber alertas em primeira mão de campanhas relacionadas.





