Um alerta americano indica que grupos APT associados ao Irã estão explorando dispositivos de tecnologia operacional expostos na internet, com foco em PLCs da Rockwell/Allen‑Bradley; a ação tem causado interrupções ao manipular arquivos de projeto e alterar telas HMI/SCADA, e o aviso traz orientações urgentes para revisar indicadores de comprometimento, isolar PLCs da internet, checar logs em portas OT específicas e ajustar configurações físicas dos controladores.
Um alerta recente das autoridades americanas aponta que grupos avançados de ameaça ligados ao Irã estão explorando dispositivos de tecnologia operacional que ficam expostos na internet.
O principal alvo identificado são controladores lógicos programáveis (PLCs), com ênfase em modelos da Rockwell Automation/Allen‑Bradley usados em setores de infraestrutura crítica.
Segundo o alerta, os invasores têm provocado interrupções ao interagir de forma maliciosa com arquivos de projeto e ao manipular dados exibidos em HMIs e sistemas SCADA, resultando em impacto operacional e perdas financeiras.
As organizações foram orientadas a revisar com urgência as táticas, técnicas, procedimentos e os indicadores de comprometimento para identificar atividades atuais ou passadas em suas redes.
Entre as medidas recomendadas está retirar os PLCs da exposição direta à internet, colocá‑los por trás de gateways seguros e firewalls.
Também é indicado consultar os logs disponíveis em busca dos indicadores de comprometimento informados e nos intervalos de tempo correspondentes.
É importante verificar registros para tráfego suspeito nas portas associadas a dispositivos OT — especialmente 44818, 2222, 102 e 502 — observando conexões originadas de provedores de hospedagem no exterior.
Para dispositivos da Rockwell, a orientação é posicionar o seletor físico do controlador em modo “run”.
Se houver suspeita de que sua organização foi alvo, a recomendação é entrar em contato com as agências responsáveis pelo alerta e com a fabricante para obter orientação adicional.
