Exploração de PLCs por atores ligados ao Irã em infraestrutura crítica dos EUA
- Security Team
- há 4 dias
- 3 min de leitura
O CTI do ICS Labs identificou que agências federais dos Estados Unidos (FBI, CISA, NSA, EPA, DOE e CNMF) emitiram um alerta urgente sobre uma campanha ativa conduzida por atores APT afiliados ao Irã, visando dispositivos de tecnologia operacional (OT), especialmente PLCs (Programmable Logic Controllers) expostos à internet. Os ataques já causaram interrupções operacionais e perdas financeiras em múltiplos setores de infraestrutura crítica, incluindo serviços governamentais, água, saneamento e energia.
Escopo e Alvos
Os ataques têm como alvo principal PLCs amplamente utilizados em automação industrial, com destaque para equipamentos da Rockwell Automation (linha Allen-Bradley), mas com indícios de expansão para outros fabricantes. Esses dispositivos estão integrados a ambientes industriais que utilizam HMI e sistemas SCADA, o que amplia o potencial de impacto.
Vetor de Ataque e TTPs
Os atores exploram principalmente PLCs diretamente expostos à internet, estabelecendo conexões remotas por meio de softwares legítimos de engenharia industrial. Essa abordagem permite que o acesso inicial ocorra sem exploração clássica de vulnerabilidades, mas sim por má configuração e exposição indevida. Uma vez dentro do ambiente, os atacantes utilizam portas comuns de protocolos industriais e implantam mecanismos de acesso remoto, como SSH, garantindo persistência. Há também indícios de tentativa de acesso a dispositivos de outros fabricantes, o que sugere uma campanha mais ampla e oportunista.
Impacto Observado
Interrupções operacionais em processos industriais
Manipulação de dados críticos (potencial risco físico)
Perdas financeiras associadas à indisponibilidade
Comprometimento de integridade de sistemas OT
Contexto e Atribuição
A atividade é atribuída a um grupo APT afiliado ao Irã, possivelmente relacionado ao grupo conhecido como CyberAv3ngers (Shahid Kaveh Group), previamente associado ao IRGC (Corpo da Guarda Revolucionária Islâmica). Há indícios de escalada recente dessas campanhas, motivadas pelas atuais tensões geopolíticas.
IOCs:
As agências identificaram endereços IP utilizados pelos atores para comunicação com dispositivos comprometidos. Esses indicadores devem ser usados para correlação em logs e investigação, não necessariamente bloqueio automático sem validação de contexto.
Principais IPs observados:
135.136.1[.]133 — atividade em março de 2026
185.82.73[.]162 — atividade de jan/2025 a mar/2026
185.82.73[.]164 — atividade de jan/2025 a mar/2026
185.82.73[.]165 — atividade de jan/2025 a mar/2026
185.82.73[.]167 — atividade de jan/2025 a mar/2026
185.82.73[.]168 — atividade de jan/2025 a mar/2026
185.82.73[.]170 — atividade de jan/2025 a mar/2026
185.82.73[.]171 — atividade de jan/2025 a mar/2026
Esses endereços foram associados ao uso de infraestrutura terceirizada para acesso remoto a PLCs expostos.
INDICADORES | TIPO |
135.136.1[.]133 | IP |
185.82.73[.]162 | IP |
185.82.73[.]164 | IP |
185.82.73[.]165 | IP |
185.82.73[.]167 | IP |
185.82.73[.]168 | IP |
185.82.73[.]170 | IP |
185.82.73[.]171 | IP |
Recomendações para equipes de segurança
As equipes de segurança devem agir com urgência para reduzir a superfície de ataque e detectar possíveis comprometimentos. É fundamental garantir que nenhum PLC esteja diretamente exposto à internet, removendo completamente a exposição de portas e implementando acesso remoto apenas por meio de gateways seguros como VPNs e firewalls com controle rigoroso. O uso de autenticação multifator (MFA) deve ser aplicado sempre que possível, especialmente em acessos externos à rede OT.
Também é essencial reforçar a proteção dos dispositivos de campo, como modems celulares, garantindo autenticação forte e ativação de logs para monitoramento. Dispositivos PLC devem operar preferencialmente em modo “run”, evitando alterações remotas indevidas, e qualquer funcionalidade desnecessária (como Telnet, FTP, RDP ou VNC) deve ser desativada.
As organizações precisam manter backups seguros e offline das configurações e lógica dos PLCs, permitindo recuperação rápida em caso de incidente. Além disso, deve-se implementar monitoramento contínuo de tráfego de rede e eventos, com foco em detectar acessos incomuns, mudanças de configuração e uso indevido de protocolos industriais.
Por fim, é altamente recomendado validar continuamente os controles de segurança com base em frameworks como MITRE ATT&CK, testando a eficácia das defesas contra técnicas reais utilizadas por adversários. A maturidade da segurança em ambientes OT deve evoluir para um modelo mais proativo, com foco em segmentação, visibilidade e resposta rápida a incidentes.
Fontes:
Comentários