Disputas geopolíticas e a nova onda de ataques cibernéticos contra sistemas de controle industrial

Em 7 de abril de 2026, a Cybersecurity and Infrastructure Security Agency (CISA), em conjunto com outras agências governamentais dos Estados Unidos, publicou a diretiva AA26-097A, alertando para a ocorrência de ataques cibernéticos direcionados a controladores lógicos programáveis (CLPs) em múltiplos setores de infraestrutura crítica do país. A diretiva destaca a exposição à Internet de CLPs fabricados pela Rockwell Automation (linha Allen-Bradley), embora equipamentos de outros fabricantes também possam estar sendo explorados por atores de ameaça possivelmente afiliados ao Irã. Quando bem-sucedidos, esses agentes maliciosos conseguiram acessar e interagir com arquivos de projeto — que contêm a lógica operacional e parâmetros de configuração — de sistemas de controle industrial (do Inglês, industrial control systems [ICS]). Além disso, foram observadas manipulações de variáveis de processo e de informações exibidas em interfaces homem-máquina (IHMs) e sistemas supervisórios (supervisory control and data acquisition [SCADA]). Em alguns casos, tais atividades resultaram em interrupções operacionais e prejuízos financeiros. De forma preocupante, mesmo após a emissão de alertas, pesquisadores foram capazes de identificar um grande número de ativos de tecnologias operacionais (TO) e ICS expostos, os quais se autoidentificavam como dispositivos da Rockwell Automation/Allen-Bradley. 

Uma das estratégias de acesso inicial consiste no uso de software legítimo do fabricante para interagir com CLPs expostos diretamente à Internet, sem a devida implementação de medidas de endurecimento (hardening). Os adversários realizam ainda varreduras ativas para identificar dispositivos de TO-ICS com base em portas comumente utilizadas (T0885) por protocolos e serviços industriais, como TCP:102 (S7Comm), TCP:502 (Modbus), TCP:2222 (Rockwell PCCC/CSP), TCP:44818 (Industrial EtherNet/IP) e UDP:161 (SNMP), entre outras. 

Historicamente, ataques com características semelhantes já foram observados, com eventos significativos registrados desde 2023 e atribuídos ao grupo Cyber Av3ngers (G1027), suspeito de manter vínculos com o Islamic Revolutionary Guard Corps (IRGC). Destaca-se uma campanha (C0031) que teve como alvo CLPs e IHMs da Unitronics, resultando na desfiguração (defacement) das interfaces gráficas desses dispositivos, com a inserção de mensagens de teor anti-Israel. Os ataques confirmados atingiram principalmente infraestruturas de água e esgoto (water and wastewater systems [WWS]) localizadas em Israel e nos Estados Unidos. De modo geral, os dispositivos comprometidos pertenciam à série Vision de CLPs da Unitronics, os quais estavam expostos à Internet com o uso de credenciais padrão e acessíveis por meio da porta TCP:20256. 

Em 2024, a OpenAI relatou que o grupo Cyber Av3ngers vinha utilizando modelos baseados em inteligência artificial (IA), como o ChatGPT, para realizar pesquisas sobre CLPs. O relatório destaca diversas atividades observadas, incluindo ações de reconhecimento, consultas sobre nomes de usuário e senhas padrão de diferentes modelos de CLPs, tentativas de ofuscação de código malicioso e questionamentos relacionados ao uso de ferramentas de testes de intrusão (penetration testing). Foram identificadas também solicitações de auxílio para criação e refinamento de scripts em Bash e Python, bem como buscas por informações gerais sobre empresas e vulnerabilidades. 

Ocorrências desse tipo evidenciam como conflitos geopolíticos — como as recentes tensões entre Estados Unidos, Israel e Irã — também se manifestam no domínio cibernético. Ainda que uma organização não seja um alvo direto nesse tipo de conflito, em um contexto global cada vez mais interconectado, campanhas e ataques cibernéticos — como os alertados pela CISA na diretiva AA26-097A — devem influenciar decisões relacionadas à aquisição de novos equipamentos, à atualização de sistemas de TO-ICS, aos diferentes ciclos de vida dos ativos, às medidas de segurança adotadas (ou não) e às dependências da cadeia de suprimentos. Caso a organização atue em um setor diretamente visado em um contexto de conflito, a inação é uma postura temerária. No contexto de cibersegurança industrial, isso pode resultar em paradas de produção, colapsos operacionais, perdas financeiras, riscos ambientais e até fatalidades. 

Para informações adicionais sobre o grupo Cyber Av3ngers e suas táticas, técnicas e procedimentos, recomenda-se a consulta ao relatório CyberAv3ngers: Profiling Operational Technology Threat Actors Using StealthMole’s Platform e à segunda publicação do volume de 2024 das Ind.Cyber.Sec Letters, intitulada OpenAI Identifies Threat Actors Using Its AI Models Against Operational Technologies. Por fim, a diretiva AA26-097A da CISA apresenta recomendações e medidas de segurança cibernética a serem adotadas, assim como indicadores de comprometimento associados às campanhas contra CLPs.

Luiz F. Freitas-Gutierres é pesquisador do Think Tank da Associação Brasileira das Empresas de Software (ABES) e professor adjunto no Departamento de Eletromecânica e Sistemas de Potência (DESP) da Universidade Federal de Santa Maria (UFSM). As opiniões expressas neste artigo não refletem, necessariamente, os posicionamentos da Associação.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!