Wed, 08 Apr 2026
← VoltarOs ciberatores ligados ao Irã têm como alvo os dispositivos TO dos EUA, causando interrupções e perdas financeiras. Esta escalada segue-se às tensões geopolíticas em curso.
Atores cibernéticos afiliados ao Irã têm como alvo dispositivos de tecnologia operacional (OT) voltados para a Internet em infraestruturas críticas nos EUA, incluindo controladores lógicos programáveis (PLCs), alertaram agências de segurança cibernética e inteligência na terça-feira. “Esses ataques levaram à diminuição da funcionalidade do PLC, à manipulação de dados de exibição e, em alguns casos, à interrupção operacional e à perda financeira”, disse o Federal Bureau of Investigation (FBI) dos EUA em uma postagem no X. As agências disseram que a campanha faz parte de uma recente escalada de ataques cibernéticos orquestrados por grupos de hackers iranianos contra organizações dos EUA em resposta ao conflito em curso entre o Irã, os EUA e Israel. Especificamente, a actividade levou a interrupções do PLC em vários sectores de infra-estruturas críticas dos EUA através do que as agências de autoria descreveram como interacções maliciosas com o ficheiro do projecto e manipulação de dados na interface homem-máquina (HMI) e controlo de supervisão e aquisição de dados (SCADA).
Esses ataques destacaram os PLCs da Rockwell Automation e da Allen-Bradley implantados em serviços e instalações governamentais, sistemas de água e águas residuais (WWS) e setores de energia. “Os atores usaram infraestrutura alugada e hospedada por terceiros com software de configuração, como o software Studio 5000 Logix Designer da Rockwell Automation, para criar uma conexão aceita com o PLC da vítima”, disse o comunicado. "Os dispositivos alvo incluem dispositivos PLC CompactLogix e Micro850." Ao obter o acesso inicial, os atores da ameaça estabeleceram comando e controle implantando o Dropbear, um software Secure Shell (SSH), nos endpoints das vítimas para permitir o acesso remoto através da porta 22 e facilitar a extração do arquivo de projeto do dispositivo e a manipulação de dados em monitores HMI e SCADA. Para combater a ameaça, as organizações são aconselhadas a evitar a exposição do PLC à Internet, tomar medidas para evitar modificações remotas através de um switch físico ou de software, implementar a autenticação multifator (MFA) e criar um firewall ou proxy de rede na frente do PLC para controlar o acesso à rede, manter os dispositivos do PLC atualizados, desativar quaisquer recursos de autenticação não utilizados e monitorar tráfego incomum.
Esta não é a primeira vez que os agentes de ameaças iranianos têm como alvo redes OT e PLCs. No final de 2023, a Cyber Av3ngers (também conhecida como Hydro Kitten, Shahid Kaveh Group e UNC5691) estava ligada à exploração ativa de PLCs da Unitronics para atingir a Autoridade Municipal de Água de Aliquippa, no oeste da Pensilvânia. Esses ataques comprometeram pelo menos 75 dispositivos. "Este comunicado confirma o que observamos há meses: a escalada cibernética do Irã segue um manual conhecido.
Os atores de ameaças iranianos estão agora se movendo de forma mais rápida e ampla e visando a infraestrutura de TI e OT", disse Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Research, em um comunicado compartilhado com o The Hacker News. "Documentamos padrões de segmentação idênticos contra PLCs israelenses em março. Não é a primeira vez que atores iranianos visam tecnologia operacional nos EUA para fins de interrupção, portanto as organizações não devem tratar isso como uma nova ameaça, mas como uma ameaça em aceleração." O desenvolvimento ocorre em meio a um novo aumento de ataques distribuídos de negação de serviço (DDoS) e alegações de operações de hack-and-leak realizadas por grupos de proxy cibernético e hacktivistas visando entidades ocidentais e israelenses, de acordo com a Flashpoint. Em um relatório publicado esta semana, a DomainTools Investigations (DTI) descreveu a atividade atribuída a Homeland Justice, Karma/KarmaBelow80 e Handala Hack como um “ecossistema de influência cibernética único e coordenado” alinhado com o Ministério de Inteligência e Segurança do Irã (MOIS), em vez de um conjunto de grupos hacktivistas distintos.
“Essas personas funcionam como vernizes operacionais intercambiáveis aplicados a uma capacidade subjacente consistente”, disse o DTI. "Seu objetivo não é refletir a separação organizacional, mas permitir a segmentação de mensagens, direcionamento e atribuição, preservando ao mesmo tempo a continuidade da infraestrutura e do comércio." Os domínios públicos e os canais do Telegram servem como o principal centro de disseminação e amplificação, com a plataforma de mensagens também desempenhando um papel importante nas operações de comando e controle (C2), permitindo que o malware se comunique com bots controlados pelos atores da ameaça, reduza a sobrecarga da infraestrutura e se misture com as operações normais. “Este ecossistema representa um instrumento de influência cibernética dirigido pelo Estado, no qual as operações técnicas estão estreitamente integradas com a manipulação narrativa e a dinâmica de amplificação dos meios de comunicação para alcançar efeitos coercivos e estratégicos”, acrescentou o DTI. MuddyWater como afiliado do CastleRAT O desenvolvimento ocorre no momento em que JUMPSEC detalha os laços da MuddyWater com o ecossistema criminoso, afirmando que o estado iraniano-