Campanha contra ambientes OT afetou PLCs Rockwell Automation e Allen-Bradley, com manipulação de telas HMI/SCADA, redução de funcionalidade e interrupções operacionais.
| Componente | PLCs Rockwell Automation e Allen-Bradley, incluindo dispositivos CompactLogix e Micro850, em ambientes de OT de setores críticos dos EUA. |
| Vetor | Interação remota com PLCs expostos à internet, usando infraestrutura hospedada de terceiros e software de configuração como Studio 5000 Logix Designer para estabelecer conexão aceita pelo dispositivo. |
| Impacto | Redução de funcionalidade de PLCs, manipulação de dados exibidos em HMI/SCADA e, em alguns casos, interrupção operacional e perda financeira. |
| Prioridade | Remover exposição direta de PLCs à internet, bloquear modificação remota, controlar acesso por firewall ou proxy, aplicar MFA e monitorar tráfego incomum. |
| Artefatos | Uso de Dropbear para acesso SSH em endpoints de vítimas pela porta 22, com extração de arquivo de projeto e alteração de dados exibidos em sistemas de supervisão. |
| Setores | Serviços e instalações governamentais, sistemas de água e esgoto e energia nos Estados Unidos. |
A atividade descrita envolve atores cibernéticos afiliados ao Irã mirando dispositivos de tecnologia operacional expostos à internet em infraestrutura crítica dos Estados Unidos. O foco operacional está em controladores lógicos programáveis, especialmente equipamentos Rockwell Automation e Allen-Bradley, usados para controlar processos físicos em ambientes industriais. A campanha foi associada a um momento de escalada de ataques contra organizações norte-americanas em meio ao conflito envolvendo Irã, Estados Unidos e Israel, mas o ponto técnico central é a exploração da exposição de PLCs e da capacidade de interagir remotamente com arquivos de projeto e dados apresentados em interfaces industriais.
Os efeitos observados não se limitam a presença em rede. A atividade resultou em perda parcial de funcionalidade dos PLCs, manipulação de dados exibidos em HMI e SCADA e, em alguns casos, interrupção operacional e prejuízo financeiro. Esse padrão é relevante porque a alteração do que operadores veem em telas de supervisão pode degradar a confiança operacional mesmo quando o processo físico não é totalmente interrompido. Em ambientes de água, energia e instalações governamentais, a diferença entre controle real, estado exibido e estado esperado precisa ser tratada como risco de segurança operacional, não apenas como evento de TI.
O caminho descrito começa com PLCs acessíveis pela internet. Os operadores usaram infraestrutura alugada ou hospedada por terceiros com software de configuração, incluindo Studio 5000 Logix Designer, para criar uma conexão aceita pelo PLC da vítima. Esse detalhe importa porque a comunicação aparenta se apoiar em funcionalidades legítimas de engenharia e manutenção, não em uma cadeia pública de exploração descrita com CVE ou payload específico. A pré-condição mais importante, portanto, é a disponibilidade remota do controlador e a ausência de controles fortes que impeçam modificação, leitura de projeto ou sessão administrativa não autorizada.
Após o acesso inicial, os operadores estabeleceram capacidade de comando e controle com Dropbear, uma implementação de SSH, em endpoints das vítimas. O acesso remoto pela porta 22 foi usado para permitir continuidade operacional, extração do arquivo de projeto do dispositivo e manipulação de dados apresentados em HMI e SCADA. O arquivo de projeto é sensível porque descreve lógica, tags, configuração e relações operacionais do ambiente controlado. Mesmo quando não há destruição física confirmada, a leitura e alteração desse material amplia a capacidade de entender processos industriais, induzir decisões erradas e mascarar condições reais para operadores.
A campanha se conecta a um histórico de interesse iraniano por OT e PLCs. Em 2023, o grupo Cyber Av3ngers, também conhecido como Hydro Kitten, Shahid Kaveh Group e UNC5691, foi associado à exploração ativa de PLCs Unitronics contra a Municipal Water Authority of Aliquippa, no oeste da Pensilvânia, em uma sequência que comprometeu ao menos 75 dispositivos. A continuidade de alvos industriais mostra uma preferência por sistemas em que impacto público, visibilidade política e interrupção operacional podem ser obtidos por meio de dispositivos mal segmentados ou administrados remotamente.
A superfície mais exposta é formada por PLCs Rockwell Automation e Allen-Bradley acessíveis a partir da internet, com menção específica a CompactLogix e Micro850. O risco aumenta quando esses dispositivos aceitam conexões de ferramentas de engenharia sem uma camada intermediária de acesso controlado, quando modificações remotas permanecem habilitadas e quando a rede OT permite que endpoints com serviços remotos mantenham caminho persistente até equipamentos industriais. Ambientes de governo, água e esgoto e energia aparecem como setores diretamente afetados, o que exige coordenação entre times de segurança, engenharia de automação e operação.
O ataque também expõe a camada de supervisão. HMI e SCADA não são apenas telas de visualização; eles sustentam decisões humanas sobre processo, alarmes, estado de equipamentos e anomalias. A manipulação de dados nessas interfaces pode criar divergência entre o que o operador acredita estar ocorrendo e o que o processo realmente está fazendo. Em resposta, a validação não deve depender apenas do painel industrial. Leituras independentes, histórico de tags, logs do controlador, registros de engenharia e telemetria de rede precisam ser correlacionados para confirmar integridade operacional.
- PLCs Allen-Bradley e Rockwell Automation expostos diretamente à internet.
- Dispositivos CompactLogix e Micro850 citados como alvos da atividade.
- Ambientes de serviços e instalações governamentais, água e esgoto e energia.
- HMI e SCADA com risco de dados exibidos divergirem do estado operacional real.
A investigação deve começar pela exposição externa dos ativos OT e por qualquer sessão recente de engenharia contra PLCs. Conexões originadas de provedores hospedados de terceiros, acessos incomuns a partir da internet e uso inesperado de software de configuração em horários fora da janela de manutenção são sinais relevantes. Como a atividade descrita usa conexão aceita pelo PLC, a ausência de alerta de exploração não deve ser interpretada como ausência de risco. O foco defensivo precisa ser identificar quem abriu sessão, de onde, com qual ferramenta, em qual controlador e quais objetos de projeto foram lidos ou modificados.
No endpoint e na rede, a presença de Dropbear e tráfego SSH pela porta 22 devem ser avaliados no contexto OT. SSH pode ser legítimo em alguns ambientes, mas sua instalação ou execução recente em máquinas que interagem com PLCs merece investigação. Também é necessário procurar extração ou acesso incomum a arquivos de projeto, alterações de lógica, downloads ou uploads para controladores e discrepâncias entre telas HMI/SCADA e medições independentes. Em ambientes maduros, esses eventos devem ser comparados com ordens de serviço e registros de mudança aprovados.
- Conexões de engenharia para PLCs a partir de infraestrutura hospedada ou endereços externos incomuns.
- Execução ou presença inesperada de Dropbear em endpoints com acesso a redes OT.
- Tráfego SSH pela porta 22 envolvendo estáções de engenharia, jump hosts ou segmentos industriais.
- Leitura, extração ou modificação de arquivos de projeto fora de janelas autorizadas.
- Divergência entre dados exibidos em HMI/SCADA e medições, alarmes ou logs independentes.
A ação principal é eliminar a exposição direta de PLCs à internet. Controladores industriais não devem aceitar conexão remota aberta; quando acesso remoto for indispensável, ele deve passar por controles intermediários, segmentação, autenticação forte, registro detalhado e autorização operacional. A recomendação inclui impedir modificação remota por chave física ou controle de software quando disponível, aplicar MFA nos pontos de acesso, posicionar firewall ou proxy de rede diante dos PLCs e restringir quais estáções podem executar funções de engenharia.
A resposta também precisa validar integridade de configuração. Equipes de OT devem comparar arquivos de projeto atuais com versões aprovadas, revisar mudanças recentes, confirmar que dados de HMI/SCADA refletem o estado real do processo e atualizar dispositivos quando houver correções aplicáveis. Recursos de autenticação não usados devem ser desativados para reduzir caminhos de abuso. Como a atividade combina infraestrutura de terceiros, ferramentas legítimas de configuração e acesso remoto por SSH, a mitigação efetiva depende de governança de mudança, inventário de ativos, segmentação e telemetria contínua, não apenas de bloqueio pontual de indicador.
O ecossistema mais amplo de atividade pró-Irã também reforça a necessidade de monitorar operações de influência, DDoS, alegações de vazamento e uso de malware por personas como Homeland Justice, Karma/KarmaBelow80 e Handala Hack. Há descrições de um deployer PowerShell chamado reset.ps1, do malware JavaScript ChainShell, de uso de contrato inteligente na blockchain Ethereum para recuperar endereço de C2 e de componentes como Tsundere, também chamado Dindoor, em conjunto com CastleRAT. Esses elementos não alteram a mitigação imediata dos PLCs, mas ampliam o escopo de hunting para organizações dos setores de defesa, aeroespacial, energia e governo que possam ser alvo de campanhas alinhadas a objetivos estatais.
- Remover PLCs da exposição direta à internet e exigir acesso por caminho controlado e registrado.
- Bloquear modificação remota quando a operação permitir, usando chave física ou controle de software.
- Aplicar MFA nos pontos de acesso remoto e limitar ferramentas de engenharia a estáções autorizadas.
- Colocar firewall ou proxy de rede antes dos PLCs e restringir origens, protocolos e horários permitidos.
- Atualizar dispositivos, desativar autenticação não utilizada e revisar arquivos de projeto contra versões aprovadas.
0 Comentários