ue, 07 Apr 2026
← VoltarHackers ligados ao Irão têm como alvo PLCs da Rockwell/Allen-Bradley em infraestruturas críticas dos EUA, causando perdas e perturbações financeiras desde março de 2026.
Hackers ligados ao Irã têm como alvo controladores lógicos programáveis (PLCs) Rockwell/Allen-Bradley expostos à Internet nas redes de organizações de infraestrutura crítica dos EUA. O alerta veio hoje cedo na forma de um comunicado conjunto de autoria do FBI, CISA, NSA, Agência de Proteção Ambiental (EPA), Departamento de Energia (DOE) e Comando Cibernético dos Estados Unidos – Força de Missão Nacional Cibernética (CNMF). As agências autoras disseram que esses ataques contínuos têm como alvo organizações em vários setores de infraestrutura crítica dos EUA (incluindo serviços e instalações governamentais, sistemas de água e esgoto e energia) e resultaram em perdas financeiras e interrupções operacionais desde março de 2026. "O FBI avalia um grupo de atores APT afiliados ao Irã estão visando PLCs expostos à Internet com a intenção de causar interrupções - incluindo interação maliciosa com arquivos de projeto e manipulação de dados exibidos em monitores HMI e SCADA - para críticos dos EUA organizações de infraestrutura", alerta o comunicado.
"As campanhas da APT afiliada ao Irã contra organizações dos EUA aumentaram recentemente, provavelmente em resposta às hostilidades entre o Irã, os Estados Unidos e Israel." “O FBI identificou que esta atividade resultou na extração do arquivo de projeto do dispositivo e na manipulação de dados em displays HMI e SCADA”, acrescentaram as agências dos EUA. Um comunicado semelhante emitido em novembro de 2023 alertou que o grupo de ameaças CyberAv3ngers, afiliado ao Corpo da Guarda Revolucionária Islâmica do governo iraniano (IRGC), estava explorando vulnerabilidades em sistemas de tecnologia operacional (OT) Unitronics baseados nos EUA. Entre novembro de 2023 e janeiro de 2024, os hackers da CyberAv3ngers comprometeram pelo menos 75 dispositivos PLC da Unitronics em múltiplas ondas de ataques cibernéticos, metade dos quais ocorreram em redes de infraestrutura crítica do WWS. Para se defenderem contra tais ataques, os defensores da rede são aconselhados a desconectar os PLCs da Internet ou protegê-los usando um firewall, verificar os registros em busca de indicadores de comprometimento compartilhados no comunicado conjunto de hoje e verificar se há tráfego suspeito nas portas OT (especialmente tráfego originado de provedores de hospedagem no exterior).
Eles também devem implementar a autenticação multifator (MFA) para acesso à rede OT, manter os CLPs atualizados com o firmware mais recente disponível, desabilitar todos os serviços e métodos de autenticação não utilizados (como chaves de autenticação padrão) e monitorar o tráfego da rede em busca de atividades suspeitas. No mês passado, o grupo hacktivista Handala, ligado ao Irã e pró-Palestina, apagou aproximadamente 80 mil dispositivos da rede da gigante médica norte-americana Stryker, incluindo dispositivos móveis de funcionários e computadores pessoais gerenciados pela empresa. O FBI também alertou que hackers iranianos ligados ao Ministério de Inteligência e Segurança (MOIS) do país estão usando o Telegram em ataques de malware.