As agências de segurança dos EUA emitiram um apelo urgente: um grupo de intervenientes ligados ao Irão está a apontar os controladores lógicos programáveis (PLCs) de Rockwell/Allen-Bradley acessíveis da Internet dentro de redes de infra-estruturas críticas nos Estados Unidos. A advertência, assinada conjuntamente pelo FBI, CISA, NSA, EPA, Departamento de Energia e United States Cyber Command – Cyber National Mission Force, descreve uma campanha ativa que, segundo essas agências, provocou perdas econômicas e alterações operacionais desde março de 2026. Você pode ler o documento oficial no aviso compartilhado pelo IC3 aqui.
Para entender a gravidade do assunto, convém lembrar o que são esses dispositivos: os PLC são a coluna vertebral de muitos processos industriais e de serviços públicos, pois orquestram bombas, válvulas, motores e medidas que mantêm em marcha plantas de água, redes energéticas e edifícios governamentais. Quando um PLC fica exposto diretamente à Internet perde a proteção do perímetro e se torna um alvo acessível para atacantes que buscam manipular a lógica de controle ou a informação que mostram os painéis HMI e SCADA.
O aviso conjunto aponta para múltiplos setores de infraestrutura crítica, incluindo serviços governamentais, sistemas de água e águas residuais e energia, e detalha táticas concretas: extração de arquivos de projeto dos próprios dispositivos e alteração dos ecrãs HMI/SCADA para mostrar valores falsos ou esconder incidentes. Esse tipo de manipulação não só causa perdas econômicas por interrupções, mas pode colocar em risco a segurança pública se as operações críticas forem desviadas ou paralisadas.
Não se trata de uma ameaça nova no ecossistema OT: já em novembro de 2023 CISA alertou sobre atividades de um grupo chamado CyberAv3ngers, ligado ao Corpo da Guarda Revolucionária Islâmica (IRGC), que explodiu sistemas Unitronics e comprometeu dezenas de PLCs em redes americanas segundo a própria CISA. Esse precedente mostra que os atores com recursos estatais ou afiliados a estados podem manter campanhas persistentes e específicas contra tecnologia de controle industrial.
Diante desse panorama, as agências responsáveis enfatizaram medidas práticas para reduzir a superfície de ataque. Entre as recomendações figura isolar os PLC de acessos diretos da Internet ou protegê-los com firewalls adequados, revisar registros e buscar indicadores de compromisso que as agências compartilharam, e monitorar tráfego anormais para portos típicos de OT, especialmente se a origem é de provedores de hospedagem no exterior. Também é aconselhável implementar autenticação multifator para o acesso às redes OT, atualizar o firmware e desativar serviços e credenciais por defeito que não sejam utilizados. São medidas de senso comum em cibersegurança industrial: menos exposição, autenticação mais forte, adesivos por dia e monitoramento contínuo. CISA mantém recursos e guias para garantir ambientes de controle industrial que podem ser consultados em seu portal sobre sistemas de controle industrial aqui.
A advertência surge num contexto geopolítico tenso: as agências atribuem a intensificação destas campanhas a intervenientes relacionados com o Irão e a relacionam-se com escaladas em hostilidades entre o Irão e os EUA ou Israel. Além disso, o aviso lembra episódios recentes de impacto público, como operações de grupos hacktivistas e relatórios de uso de plataformas de mensagens para distribuir malware, o que sublinha que a ameaça combina capacidades técnicas com motivações políticas e campanhas de desinformação ou vandalismo.
Para operadores e responsáveis pela segurança em empresas que gerem activos do OT, a chave é agir rapidamente e com prioridades claras. Primeiro, identificar quais PLCs estão expostos e cortar esse acesso direto se não for estritamente necessário. Depois, aplicar controles de perímetro, segmentar a rede para que um componente comprometido não permita mover-se lateralmente para sistemas críticos, e revisar os projetos armazenados nos dispositivos por se foram extraídos ou alterados. Finalmente, estabelecer monitorização que detecte alterações nos ecrãs HMI/SCADA e padrões de tráfego incomuns que possam indicar manipulação.
Por seu lado, os fabricantes e fornecedores de soluções de controlo devem publicar avisos de segurança, adesivos e boas práticas específicas para os seus produtos; Rockwell Automation, por exemplo, dispõe de um espaço com avisos e recomendações de segurança do produto que os responsáveis podem consultar para aplicar atualizações e mitigação recomendadas em seu portal de segurança.
Em suma, a combinação de atores persistentes, dispositivos industriais expostos e a possibilidade de alterar informações operacionais torna esta campanha uma chamada de atenção: A cibersegurança industrial não é um assunto teórico, mas uma questão de continuidade operacional e segurança pública. Aqueles que gerem infra-estruturas críticas devem priorizar a redução da exposição, a aplicação de controlos de acesso robustos, o sistema transdérmico e a vigilância constante, e apoiar-se nas orientações oficiais para responder rapidamente a qualquer indício de intrusão.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...