Agências dos Estados Unidos, incluindo o FBI e a CISA, emitiram um alerta sobre ataques cibernéticos conduzidos por grupos ligados ao Irã. Esses ataques estão focados em dispositivos industriais conhecidos como PLCs (controladores lógicos programáveis), especialmente os modelos da Rockwell Automation/Allen-Bradley que estão expostos diretamente na internet.

Alvos dos Ataques

Segundo o alerta, os invasores estão explorando falhas de segurança nesses equipamentos para acessar sistemas de tecnologia operacional (OT), utilizados em setores críticos como energia, água, saneamento e serviços governamentais. O objetivo principal é causar interrupções nos processos e gerar prejuízos financeiros.

Como os Ataques Funcionam

Os ataques ocorrem principalmente por meio da manipulação dos arquivos de projeto dos PLCs e da alteração de informações exibidas em sistemas de monitoramento, como HMI e SCADA. Isso pode fazer com que operadores visualizem dados incorretos ou percam o controle sobre processos industriais, resultando em falhas operacionais.

Técnicas Utilizadas

As investigações apontam que os atacantes utilizam ferramentas legítimas de engenharia, como o Studio 5000 Logix Designer, além de acessos remotos por meio de protocolos comuns em redes industriais. Também foi identificado o uso de ferramentas de acesso remoto, como SSH (Dropbear), e comunicação por portas específicas desses ambientes.

Atores Envolvidos

O grupo responsável por essa campanha é conhecido como CyberAv3ngers, associado à Guarda Revolucionária do Irã (IRGC), e também identificado por outros nomes no setor de segurança. Desde novembro de 2023, esse grupo já comprometeu pelo menos 75 dispositivos, incluindo PLCs utilizados em sistemas de água e esgoto.

Contexto Atual

As autoridades destacam que esse tipo de ataque tem aumentado recentemente, possivelmente em função de tensões geopolíticas envolvendo Irã, Estados Unidos e Israel. Há ainda indícios de que outros fabricantes de equipamentos industriais, como a Siemens, também possam ser alvo dessas ações.

Recomendações de Segurança

Como medidas de proteção, recomenda-se que as organizações evitem expor PLCs diretamente na internet, utilizem firewalls para restringir acessos, monitorem o tráfego de rede em busca de atividades suspeitas e revisem logs regularmente. Também é fundamental manter os dispositivos atualizados, desativar serviços desnecessários, remover credenciais padrão e adotar autenticação multifator sempre que possível.

Por fim, é importante que as empresas revisem os indicadores de comprometimento divulgados pelas autoridades e estejam preparadas para responder rapidamente a incidentes, buscando apoio de órgãos especializados quando necessário.

Créditos:

https://securityaffairs.com/190485/apt/u-s-agencies-alert-iran-linked-actors-target-critical-infrastructure-plcs.html