Hackers ligados ao Irã intensificam ataques a PLCs expostos nos EUA
Agências de segurança dos Estados Unidos emitiram um alerta conjunto sobre uma campanha coordenada de hackers associados ao Irã que tem como alvo direto dispositivos de tecnologia operacional (OT) conectados à internet, em especial controladores lógicos programáveis (PLCs, na sigla em inglês). Esses equipamentos são a espinha dorsal de processos industriais e de infraestrutura crítica, e sua exposição direta à rede pública está abrindo uma porta perigosa para ataques com impacto físico real.
De acordo com o comunicado, os atacantes já conseguiram provocar perda de funcionalidade em equipamentos industriais, alteração de dados exibidos em painéis de operação e, em alguns cenários, interrupções significativas de serviços, com reflexos financeiros para as organizações afetadas. Ou seja, não se trata apenas de invasões “silenciosas” para espionagem: há potencial concreto de sabotagem e de dano operacional.
Os setores mais visados são justamente aqueles classificados como infraestrutura crítica: serviços governamentais, sistemas de água e esgoto e empresas de energia. Esses ambientes tradicionalmente operam com equipamentos antigos ou com processos de atualização mais lentos, o que, combinado à necessidade de alta disponibilidade, muitas vezes resulta em sistemas desatualizados e diretamente acessíveis pela internet – um cenário ideal para grupos maliciosos.
O alerta destaca que os ataques têm se concentrado sobretudo em controladores das linhas Rockwell Automation e Allen-Bradley que estão conectados de forma direta à internet, sem camadas adequadas de proteção de rede. Entre os dispositivos mencionados estão modelos CompactLogix e Micro850, muito utilizados em automação de plantas industriais, estações de bombeamento, sistemas de tratamento de água e em diferentes etapas de processos de energia.
Conforme detalhado pelas autoridades, os operadores da campanha iraniana vêm utilizando infraestrutura terceirizada alugada, como servidores externos, em combinação com softwares de configuração industrial legítimos. A estratégia é se passar por um usuário autorizado, estabelecendo uma conexão aceita pelos controladores da vítima, o que reduz a chance de detecção por ferramentas tradicionais de segurança voltadas ao ambiente de TI.
Depois de obter o acesso inicial ao PLC, os invasores instalam o Dropbear, uma implementação leve de SSH, para manter presença persistente no dispositivo por meio da porta 22. Com esse canal de acesso remoto, conseguem retornar ao ambiente quando desejarem, sem precisar explorar novamente a vulnerabilidade original. A partir daí passam a extrair arquivos de projeto dos equipamentos, o que revela a lógica de controle dos processos industriais e pode ser usado para futuras ondas de ataque ainda mais precisas.
Além da exfiltração de projetos, os atacantes se concentram na manipulação dos dados exibidos em interfaces HMI (Human-Machine Interface) e em sistemas SCADA (Supervisory Control and Data Acquisition). Essa alteração de telas e leituras operacionais é especialmente perigosa, porque o operador em campo pode acreditar que tudo está funcionando dentro da normalidade, enquanto parâmetros críticos – como pressão, temperatura, vazão ou status de válvulas – estão, na prática, fora do padrão. Esse tipo de ataque aumenta o risco de falhas de equipamento, paralisações forçadas e até acidentes físicos.
As agências norte-americanas relacionam essa campanha a uma escalada mais ampla das operações cibernéticas ligadas ao Irã, em um contexto de tensão crescente envolvendo Irã, Estados Unidos e Israel. A avaliação é que o cenário geopolítico atual eleva o interesse em atacar ativos de infraestrutura conectados, especialmente aqueles com baixa maturidade de segurança e exposição direta à internet. Em outras palavras, equipamentos antes considerados “apenas industriais” agora são vistos como alvos estratégicos de guerra híbrida.
Esse quadro reforça um problema estrutural na segurança de ambientes OT: durante décadas, a prioridade foi garantir a continuidade operacional, e não a proteção cibernética. Muitos PLCs ainda são implantados com senhas padrão de fábrica, sem segmentação de rede adequada e, em vários casos, diretamente acessíveis via IP público. A combinação de tecnologias antigas com conectividade moderna criou uma superfície de ataque que grupos bem organizados estão explorando agressivamente.
Para organizações que operam infraestruturas críticas, o alerta funciona como um chamado urgente à ação. Entre as medidas prioritárias, especialistas recomendam: remoção de PLCs da exposição direta à internet; implantação de VPNs e controles de autenticação forte para qualquer acesso remoto; segmentação rígida entre redes de TI e OT; revisão de senhas padrão e criação de políticas de gestão de credenciais; além de monitoramento contínuo de anomalias em comunicações com dispositivos industriais. Mesmo mudanças simples, como bloquear a porta 22 externamente e revisar quem realmente precisa de acesso remoto, já reduzem substancialmente o risco.
Outro ponto sensível é a cultura interna. Equipes de operação industrial muitas vezes não se veem como alvos de ataques cibernéticos e tendem a ignorar práticas de segurança típicas da TI. Investir em treinamento específico para profissionais de engenharia, manutenção e operação é essencial para que compreendam o impacto de um PLC mal configurado ou de um acesso remoto liberado sem critérios. Um único painel HMI comprometido pode representar a porta de entrada para toda uma planta.
Do ponto de vista estratégico, essa campanha ligada ao Irã mostra como o ciberespaço se consolidou como um campo de disputa entre Estados e grupos patrocinados por governos. Ataques a infraestruturas críticas, mesmo quando não causam danos imediatos e de grande escala, servem para mapear vulnerabilidades, coletar informações sobre a resiliência dos alvos e testar respostas de defesa. É uma preparação silenciosa para cenários de conflito mais intenso.
Em paralelo a esse aumento na sofisticação das ameaças, o setor de tecnologia tem buscado novas formas de fortalecer a defesa cibernética. Iniciativas recentes em inteligência artificial aplicada à segurança mostram um movimento de tentar equilibrar o jogo contra atacantes cada vez mais organizados e persistentes. Projetos focados em análise automatizada de vulnerabilidades, monitoramento inteligente e resposta rápida a incidentes estão ganhando espaço no mundo inteiro, em especial em ambientes industriais e de infraestrutura crítica.
Nesse contexto, cresce também o uso de agentes de pentest automatizados, que utilizam IA para simular ataques e identificar pontos fracos em redes e sistemas antes que criminosos o façam. Diferentemente de uma simples varredura de vulnerabilidades, esses agentes conseguem encadear etapas de exploração, mover-se lateralmente, testar credenciais fracas e mapear caminhos reais de ataque – algo particularmente relevante em ambientes OT, em que a combinação de redes antigas e novos dispositivos conectados forma cenários complexos e cheios de brechas pouco óbvias.
É importante diferenciar o “pentest com IA” do chamado “pentest autônomo”. No primeiro caso, a IA apoia o trabalho do profissional humano: ajuda a priorizar vulnerabilidades, sugerir vetores de ataque, automatizar tarefas repetitivas e analisar grandes volumes de dados. No pentest autônomo, por outro lado, a própria ferramenta conduz, em grande parte, o ciclo de ataque simulado, do reconhecimento inicial até a exploração, com mínima intervenção humana. Isso aumenta a escala e a velocidade dos testes, mas também exige regras bem definidas, limites operacionais claros e governança rígida, sobretudo em ambientes industriais sensíveis.
Para empresas de água, energia, saneamento e outros setores críticos, a combinação de profissionais experientes com ferramentas avançadas de IA e pentest automatizado tende a se tornar o novo padrão de proteção. Esses recursos ajudam a encontrar PLCs expostos, portas desnecessariamente abertas, configurações frágeis de SSH, credenciais reutilizadas e integrações mal segmentadas com sistemas corporativos. Ao simular, de forma controlada, o tipo de ataque que grupos alinhados a Estados-nação vêm realizando, as organizações conseguem antecipar problemas e corrigi-los antes que resultem em interrupções ou danos físicos.
No fim, a mensagem central do alerta é clara: PLCs e outros dispositivos de OT não podem mais ser tratados como “caixas pretas” isoladas do mundo digital. Qualquer equipamento conectado à internet, especialmente em ambientes de infraestrutura crítica, deve ser encarado como potencial alvo estratégico. A combinação de disciplina básica de segurança, segmentação de rede, monitoramento inteligente e uso de tecnologias modernas de detecção e teste ofensivo é hoje indispensável para reduzir a superfície de ataque e mitigar o risco representado por campanhas como as atribuídas a hackers ligados ao Irã.