FBI e agências federais confirmam uma campanha em andamento de grupos associados ao Irã visando controladores industriais Allen-Bradley conectados à internet; mais de 3.800 dispositivos estão vulneráveis apenas nos Estados Unidos.
Hackers associados ao governo iraniano têm atacado controladores lógicos programáveis (PLCs) da Rockwell Automation. Desde março de 2026, dispositivos diretamente conectados à internet têm enfrentado interrupções operacionais e perdas financeiras em empresas americanas.
O alerta foi emitido em conjunto pelo FBI e outras agências federais dos EUA, que confirmaram a extração de arquivos de configuração e a manipulação de dados em interfaces de supervisão industrial.
Os dispositivos visados pertencem à linha Allen-Bradley, da Rockwell Automation, uma das lideranças mundiais em automação industrial. Os PLCs são, essencialmente, computadores que gerenciam processos físicos em infraestruturas críticas, sendo responsáveis por funções como abrir e fechar válvulas, regular pressões em tubulações, acionar bombas em estações de tratamento de água e controlar reatores em refinarias.
Por que manipular a interface de controle é mais perigoso do que parece
O FBI identificou doisvetores de impacto nesta campanha: a extração do arquivo do projeto do dispositivo e a manipulação de dados exibidos em painéis de controle.
As interfaces de controle são usadas pelos operadores para monitorar e interagir com sistemas industriais. Através delas, um técnico pode visualizar a pressão de um oleoduto, o nível de cloro em uma estação de tratamento ou a temperatura de um reator. Se um invasor altera o que é exibido nessas telas sem modificar o que realmente ocorre no sistema, o operador pode tomar decisões com base em dados falsos, não percebendo o problema até que o dano real aconteça.
A extração do arquivo de projeto tem implicações severas, uma vez que contém o código-fonte que determina o funcionamento específico do PLC, incluindo quais entradas ele monitora e quais saídas aciona. Com esse arquivo, um atacante compreende a lógica operacional do alvo antes de realizar uma ação.
Protocolo industrial desprotegido na internet aberta
Os dispositivos Allen-Bradley se comunicam via EtherNet/IP, um protocolo que não foi desenvolvido para exposição à internet.
A empresa de segurança Censys identificou 5.219 hosts globalmente que respondem a esse protocolo e se apresentam como dispositivos Rockwell Automation. Os Estados Unidos respondem por 74,6% dessa exposição, com 3.891 hosts identificados.
Uma parte relevante desses dispositivos encontra-se em ASNs de operadoras de telefonia celular, indicando uma conexão via modem 3G ou 4G, comum em instalações remotas, como estações de tratamento de água fora de áreas urbanas e subestações elétricas rurais.
Escalada vinculada a tensões entre Irã, EUA e Israel
As agências federais afirmam que a escalada dos ataques cibernéticos de grupos afiliados ao Irã contra organizações americanas está relacionada aos conflitos entre suas nações.
Esse padrão não é novo. Entre novembro de 2023 e janeiro de 2024, o grupo CyberAv3ngers, relacionado ao Corpo da Guarda Revolucionária Islâmica (IRGC), comprometeu pelo menos 75 PLCs da fabricante israelense Unitronics em uma série de ataques.
Metade dos dispositivos afetados estava em sistemas de água e saneamento nos EUA, um setor que depende fortemente da automação para o controle da distribuição de água potável.
Recentemente, o grupo hacktivista Handala, vinculado ao Ministério de Inteligência iraniano, comprometeu cerca de 80 mil dispositivos na rede da empresa médica americana Stryker, incluindo celulares e computadores de funcionários da empresa.
Como se proteger
O alerta conjunto das agências sugere um conjunto de medidas defensivas que administradores de redes OT devem implementar. A primeira ação recomendada é isolar os PLCs da internet, seja desconectando-os diretamente ou bloqueando o acesso via firewall, eliminando assim a superfície de ataque identificada pela Censys.
Para um monitoramento contínuo eficaz, as agências também recomendam a análise de logs em busca de atividades maliciosas e a inspeção do tráfego nas portas utilizadas por redes de tecnologia operacional, com ênfase em conexões de provedores de hospedagem estrangeiros.
Habilitar a autenticação multifator para qualquer acesso a redes OT é outra recomendação importante, além de manter os firmwares atualizados e desativar serviços e métodos de autenticação que não estejam em uso.
Acompanhe o TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.