){kind=link}
Grupos de hackers ligados ao governo do Irã atacam controladores lógicos programáveis (PLCs) da Rockwell Automation. Desde março de 2026, os dispositivos conectados diretamente à internet têm sofrido com interrupções operacionais e prejuízos financeiros em organizações americanas.
O alerta foi emitido em conjunto pelo FBI e outras agências federais dos Estados Unidos, que confirmaram extração de arquivos de configuração e manipulação de dados em interfaces de supervisão industrial.
smart_display
Nossos vídeos em destaque
Os dispositivos visados são da linha Allen-Bradley, da Rockwell Automation, uma fabricante americana líder em automação industrial. PLCs são basicamente os computadores que controlam processos físicos em instalações críticas. Eles abrem e fecham válvulas, regulam pressão em tubulações, acionam bombas em estações de tratamento de água, controlam reatores em refinarias.
Por que manipular a tela de controle é mais perigoso do que parece
O FBI identificou dois vetores de impacto na campanha: a extração do arquivo de projeto do dispositivo e a manipulação de dados exibidos em telas HMI e SCADA.
Interface Homem-Máquina (HMI) e Supervisão, Controle e Aquisição de Dados (SCADA) são os painéis de controle que os operadores usam para monitorar e interagir com sistemas industriais.
É por essas interfaces que um técnico vê a pressão de um oleoduto, o nível de cloro de uma estação de tratamento ou a temperatura de um reator. Se um atacante consegue alterar o que é exibido nessas telas sem mudar o que realmente está acontecendo no sistema, o operador passa a tomar decisões com base em dados falsos. E pode não perceber que algo está errado até que o dano físico já esteja feito.
)
A extração do arquivo de projeto tem implicações diferentes, porque ele é o código-fonte de como aquele PLC específico opera, incluindo quais entradas ele monitora, quais saídas ele aciona, quais são os limiares de alerta. Com esse arquivo em mãos, um atacante entende a lógica operacional da instalação alvo antes de agir.
Protocolo industrial sem proteção na internet aberta
A comunicação com os dispositivos Allen-Bradley ocorre via EtherNet/IP, protocolo desenvolvido para redes industriais locais e que não foi projetado com exposição à internet em mente.
A empresa de segurança Censys identificou 5.219 hosts globalmente respondendo a esse protocolo e se identificando como dispositivos Rockwell Automation. Os Estados Unidos concentram 74,6% dessa exposição, o equivalente a 3.891 hosts.
)
De acordo com a Censys, uma parcela significativa desses dispositivos está em ASNs de operadoras de telefonia celular, o que indica equipamentos de campo conectados via modem 3G ou 4G. Isso é comum em instalações remotas como estações de tratamento de água fora de centros urbanos, subestações elétricas rurais, instalações de gás em áreas de difícil acesso.
O problema é que essa conveniência elimina a camada de isolamento que redes industriais historicamente tinham por design. Um PLC que antes só era acessível de dentro da rede corporativa, agora tem um endereço IP roteável. Isso significa que qualquer ator com acesso à internet consegue tentar uma conexão.
Escalada vinculada às tensões com Irã, EUA e Israel
O alerta das agências federais enfatiza que a escalada das operações de APTs afiliadas ao Irã contra organizações americanas provavelmente reflete os conflitos entre o país e os Estados Unidos e Israel.
)
Esse padrão não é novo. Entre novembro de 2023 e janeiro de 2024, o grupo CyberAv3ngers, rastreado como afiliado ao Corpo da Guarda Revolucionária Islâmica (IRGC), comprometeu ao menos 75 PLCs da fabricante israelense Unitronics em múltiplas ondas de ataques.
Metade dos dispositivos afetados estava em sistemas de água e saneamento nos Estados Unidos, setor que depende de automação para controlar o tratamento e a distribuição de água potável.
Mais recentemente, o grupo hacktivista Handala, vinculado ao Ministério de Inteligência iraniano, destruiu aproximadamente 80 mil dispositivos da rede da gigante médica americana Stryker, incluindo celulares de funcionários e computadores gerenciados pela empresa.
)
Como se defender
O alerta conjunto das agências detalha um conjunto de medidas defensivas que os administradores de redes OT devem implementar. A mais imediata é isolar os PLCs da internet, seja por desconexão direta ou por bloqueio via firewall, eliminando a superfície de ataque que a Censys conseguiu enumerar em larga escala.
Para monitoramento contínuo, as agências recomendam análise de logs em busca de sinais de atividade maliciosa e inspeção de tráfego nas portas usadas por redes de tecnologia operacional, com atenção especial a conexões originadas de provedores de hospedagem estrangeiros.
A habilitação de autenticação multifator para qualquer acesso a redes OT também está entre as recomendações, assim como a manutenção de firmwares atualizados e a desativação de serviços e métodos de autenticação que não estejam em uso ativo.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.