Nas últimas semanas, agências de segurança e inteligência norte-americanas têm alimentado um alarme que merece atenção: grupos ligados ao Irão estão a focar os seus esforços em dispositivos de tecnologia operacional (OT) que estão expostos à Internet, em particular controladores lógicos programáveis (PLC) de fabricantes amplamente usados em infra-estruturas críticas. Trata-se de um padrão que não só busca espionagem digital, mas sim manipulação direta de processos industriais, com efeitos que vão desde a alteração de ecrãs até interrupções operacionais e perdas econômicas.
O aviso, divulgado por organismos como o FBI e compartilhado por outras entidades do setor, descreve uma técnica consistente: os atacantes estabelecem conexões legítimas com os PLC empregando software de configuração industrial - em alguns casos aproveitando plataformas como Studio 5000 de Rockwell Automation - para depois extrair arquivos de projeto e modificar a informação apresentada nas interfaces humanas-máquina (HMI) e em sistemas SCADA. Para manter o acesso remoto, os intrusos instalam software SSH (se identificou o uso de Dropbear) nos pontos comprometidos, o que lhes permite operar através do porto 22 e exfiltrar dados ou injetar mudanças.
Entre os brancos mencionam-se dispositivos concretos da família Allen-Bradley, como CompactLogix e Micro850, implantados em serviços governamentais, plantas de água e sistemas energéticos. O risco é que uma manipulação discreta de leituras ou de lógicas de controle se traduza em decisões humanas errôneas ou em paradas não planejadas de equipes críticas, um cenário que as organizações devem evitar a todo custo.
Essas operações fazem parte de uma escalada mais ampla de ataques cibernéticos atribuídos a atores iranianos, que, segundo várias análises recentes, incluem campanhas de recusa de serviço (DDoS), vazamentos e ações de desinformação coordenadas através de redes públicas e canais de mensagens como Telegram. Pesquisadores e assinaturas de inteligência apontaram que, além de operar com grupos que se apresentam como hacktivistas, há uma camada que funciona como um ecossistema de influência e ataque com ligações para estruturas estatais. Para aprofundar esse ecossistema e sua integração entre operações técnicas e amplificação mediática, podem ser consultados relatórios de empresas especializadas em inteligência de ameaças como DomainTools e análise publicadas por grupos como Check Point Research e Recorded Future.
Não é a primeira vez que se detectam intrusões sobre ambientes OT nos Estados Unidos. No final do ano passado, houve uma campanha que comprometeu dispositivos Unitronics em uma autoridade da água na Pensilvânia, onde se constatou a afectação de dezenas de equipamentos. A repetição deste padrão mostra que os atacantes definiram técnicas e estão dispostos a reutilizar ferramentas e metodologias para bater pontos sensíveis. Organizações como o FBI e CISA Foram documentando a evolução dessas ameaças e emitindo recomendações para a proteção do ambiente OT.
Outro aspecto inquietante é a hibridação entre atores estatais e ecossistemas criminosos: relatórios técnicos recentes descrevem o uso de marcos de malware e serviços desenvolvidos originalmente no mercado criminoso como componentes em operações patrocinadas por Estados. Projetos como CastleLoader/CastleRAT, loaders em PowerShell que desencadeiam cargas adicionais e até mecanismos criativos de recuperação de endereços de comando e controle (C2) através de cadeias em blockchains públicas, exemplificam como se misturam técnicas de vanguarda criminosa com objetivos estratégicos. Pesquisas abertas sobre essas famílias de ferramentas podem ser encontradas em fontes como JUMPSEC e várias análises da indústria.
O que deveriam fazer as organizações que gerem o OT? As recomendações das agências são claras e práticas: não expor diretamente os PLC à rede pública e limitar a possibilidade de modificações remotas através de controlos físicos ou lógicos; colocar uma barreira de rede - um firewall ou proxy - entre os controladores e o resto da rede; activar a autenticação robusta, idealmente com multifator; manter o firmware e o software de configuração atualizados; desactivar mecanismos de autenticação que não são usados e monitorar continuamente o tráfego em busca de conexões invulgares. Estas medidas não garantem imunidade total, mas aumentam consideravelmente o custo e a complexidade para um atacante.
Além das medidas técnicas, há um componente organizacional: integrar a proteção de OT dentro dos programas de cibersegurança corporativos, realizar exercícios que incluam cenários de manipulação de processos e melhorar os canais de comunicação entre equipes IT e OT. A convergência entre redes empresariais e controlo industrial exige coordenação e práticas de resposta alinhadas, porque uma detecção precoce em TI pode prevenir um compromisso em OT e vice-versa.
A combinação de táticas testadas —uso de infraestrutura de terceiros, reutilização de ferramentas de acesso remoto e exploração de software legítimo de configuração industrial — juntamente com uma estratégia de influência e amplificação em mídias e redes sociais, define um risco complexo que mistura capacidade técnica e objetivos geoestratégicos. Diante disso, a chave não é apenas adesivo ou segmentar redes, mas entender a ameaça como parte de um panorama maior onde atores estatais, proxies e criminosos se retroalimentam.
Para quem quiser aprofundar, é recomendável rever os comunicados e alertas das agências oficiais e as análises técnicas publicadas por empresas de inteligência em cibersegurança. Páginas como as de FBI, CISA, e os relatórios da indústria disponíveis em Check Point Research, Recorded Future ou DomainTools oferecem elementos para entender melhor as táticas observadas e as ações recomendadas.
A lição para operadores e responsáveis é clara: não subestimem a capacidade de dano em OT ou o ritmo ao que evoluem essas campanhas. A arquitetura de controle industrial foi pensada para disponibilidade e segurança física, não para resistir a uma ofensiva digital sofisticada; atualizar-nos em ambas as frentes é, hoje mais do que nunca, uma prioridade ineludível.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...