Ot

A FBI e agências de cibersegurança dos EUA alertaram sobre ataques direcionados a dispositivos de tecnologia operacional (OT) com conexão à internet, como controladores lógicos programáveis (PLCs), por grupos cibernéticos afiliados ao Irã. Esses ataques resultaram em diminuição da funcionalidade dos PLCs, manipulação de dados e, em alguns casos, interrupções operacionais e perdas financeiras. Os alvos incluem PLCs da Rockwell Automation e Allen-Bradley, utilizados em setores críticos como serviços governamentais, sistemas de água e energia. Os atacantes conseguiram acesso inicial utilizando infraestrutura de terceiros e software de configuração, estabelecendo controle remoto através de um software SSH chamado Dropbear. Para mitigar esses riscos, as organizações são aconselhadas a evitar a exposição dos PLCs à internet, implementar autenticação multifatorial e monitorar tráfego incomum. Este cenário se insere em uma escalada de ataques cibernéticos iranianos, que já haviam sido observados anteriormente em redes de OT nos EUA e em Israel. A situação é agravada por um aumento em ataques de negação de serviço distribuído (DDoS) e operações de hack-and-leak por grupos de hacktivistas associados ao Irã.

Um grupo hacktivista pró-russo, conhecido como TwoNet, foi identificado atacando uma instalação de tratamento de água durante uma operação de honeypot realizada pelos laboratórios Vedere da Forescout em setembro de 2025. O ataque destacou uma mudança nas táticas de hacktivistas, que estão se afastando da simples desfiguração de sites para intrusões mais sofisticadas em sistemas de tecnologia operacional (OT) e controle industrial (ICS). Os atacantes exploraram a autenticação fraca em uma interface homem-máquina (HMI), utilizando credenciais padrão para obter acesso. Após a invasão, eles realizaram consultas SQL para mapear dados e injetaram JavaScript malicioso, alterando a página de login. Além disso, criaram uma conta separada para realizar ações persistentes, como manipulação de dados e desativação de logs de alarmes. A análise revelou que o ataque foi manual, com IPs associados a entidades sancionadas pela UE, e que houve atividades correlacionadas de grupos aliados, aumentando a escalabilidade da ameaça. Especialistas recomendam medidas de endurecimento, como a eliminação de senhas padrão e a segmentação de redes, para mitigar riscos semelhantes.