### Agências Federais Sinalizam Alarme sobre Comprometimento de Sistemas ATG Um boletim conjunto da Agência de Segurança Cibernética e Infraestrutura (CISA), do Federal Bureau of Investigation (FBI), da National Security Agency (NSA), do Departamento de Energia (DOE), da Agência de Proteção Ambiental (EPA), da Administração de Segurança de Transporte (TSA), do Departamento de Transporte (DOT) e do Departamento de Agricultura dos EUA (USDA) alerta sobre ameaças cibernéticas ativas visando sistemas de Medição Automática de Tanques (ATG). Esses sistemas são cruciais para monitorar parâmetros de tanques de armazenamento, como níveis de combustível, temperatura e detecção de vazamentos nos Setores de Energia, Químico, Alimentício e Agrícola, e de Sistemas de Transporte. O boletim enfatiza que atores de ameaças cibernéticas estão ativamente comprometendo sistemas ATG expostos à internet e modificando-os por meio de execução de comandos. Embora nenhum estado-nação ou grupo de atores de ameaças específico tenha sido atribuído, as táticas, técnicas e procedimentos (TTPs) observados indicam uma ameaça sofisticada e persistente. ### Compreendendo o Cenário de Ameaças Os atacantes estão explorando várias vulnerabilidades para obter acesso não autorizado e controle sobre os sistemas ATG: * **Bypass de Autenticação e Credenciais Hardcoded**: Atores de ameaças estão contornando mecanismos de autenticação e explorando credenciais padrão ou hardcoded para acessar interfaces de gerenciamento de dispositivos. * **Execução de Comandos do SO e SQL Injection**: Essas técnicas permitem que os atacantes executem código arbitrário e manipulem bancos de dados subjacentes, concedendo-lhes controle extensivo. * **Escalonamento de Privilégios**: Uma vez obtido o acesso inicial, os atores de ameaças estão escalonando privilégios para alcançar controle total de administrador sobre a aplicação do dispositivo e o sistema operacional. ### Potenciais Impactos Operacionais e de Segurança Um comprometimento bem-sucedido de um sistema ATG pode ter consequências severas, mimetizando o acesso físico legítimo ao console do sistema. Atores de ameaças poderiam: * **Alterar atributos do sistema**: Isso inclui configurações de rede, identificadores de produto, volumes de tanques e controles de bombas, levando ao caos operacional. * **Agravar mau funcionamentos operacionais**: Componentes operando incorretamente poderiam criar uma condição de "negação de visão" para os níveis de enchimento do tanque, potencialmente causando danos permanentes ao sistema do tanque. * **Desabilitar alertas do sistema**: Suprimir alertas críticos reduz a capacidade de um operador detectar e mitigar problemas, aumentando significativamente o risco de perigos ambientais ou físicos, como vazamentos ou falhas de relé. ### Recomendações Urgentes de Mitigação As organizações autoras instam proprietários e operadores de ATG a implementar imediatamente as seguintes medidas de segurança: 1. **Eliminar Exposição à Internet Pública**: Crucialmente, **não exponha portas seriais de ATG** (por exemplo, portas TCP padrão 8001, 9001 ou 10001) ou outras interfaces web aplicáveis diretamente à internet. Se o acesso remoto for essencial, restrinja-o usando um firewall, lista de controle de acesso (ACL) ou rede privada virtual (VPN). 2. **Impor Segurança de Credenciais**: Altere imediatamente todas as senhas padrão e implemente códigos de segurança fortes e exclusivos e credenciais administrativas para todas as interfaces. Onde for viável, implemente **Autenticação Multifator (MFA)** resistente a phishing. Entre em contato com seu provedor de serviços ATG para obter assistência se não estiver familiarizado com esses procedimentos. 3. **Aplicar Patches**: Trabalhe com provedores de serviços ATG certificados para verificar a conformidade, atualizar software e aplicar os patches de segurança mais recentes dos fabricantes. 4. **Monitorar e Relatar**: Monitore ativamente as redes em busca de acesso não autorizado. * Habilite o registro, auditoria e monitoramento de logs para exposições de interfaces de dispositivos ATG, conexões não autorizadas, alarmes suspeitos, modificações de limites de alarme, alterações de rótulos de tanques e outras modificações do sistema. * Relate incidentes suspeitos prontamente ao [portal](https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia/voluntary-cyber-incident-reporting) da CISA. 5. **Engajar Provedores de Serviços de Terceiros**: Garanta que seus provedores de serviços terceirizados adotem as mitigações primárias para reduzir ameaças cibernéticas à **Tecnologia Operacional (OT)**, conforme delineado pela CISA, FBI, EPA e DOE. ### Recursos Adicionais e Relatórios Para um mergulho mais profundo na segurança de **OT** e **Sistemas de Controle Industrial (ICS)**, as organizações devem revisar: * O folheto da CISA, FBI, EPA e DOE sobre [Mitigações Primárias para Reduzir Ameaças Cibernéticas à Tecnologia Operacional](https://www.cisa.gov/sites/default/files/2025-05/fact-sheet-primary-mitigations-to-reduce-cyber-threats-to-operational-technology-508c.pdf). * Informações sobre vulnerabilidades que afetam sistemas ATG, como [Vulnerabilidades Críticas Descobertas em Sistemas de Medição Automática de Tanques](https://www.bitsight.com/blog/critical-vulnerabilities-discovered-automated-tank-gauge-systems). * A página da web da CISA sobre [Orientação para Redução de Exposição à Internet](https://www.cisa.gov/resources-tools/resources/exposure-reduction) para identificar e remover ativos acessíveis pela internet. * Os [Princípios de conectividade segura para Tecnologia Operacional (OT)](https://www.ncsc.gov.uk/sites/default/files/documents/ncsc-secure-connectivity-for-operational-technology.pdf) do NCSC. Organizações dos EUA são encorajadas a relatar quaisquer atividades suspeitas ou criminosas relacionadas a essas ameaças: * **CISA**: Entre em contato com o Centro de Operações 24/7 da CISA via [[email protected]](mailto:[email protected]) ou 888-282-0870. Forneça detalhes como data, hora, local, tipo de atividade, partes afetadas, equipamento e um ponto de contato. Mais informações sobre [Relatório Voluntário de Incidentes Cibernéticos](https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia/voluntary-cyber-incident-reporting). * **FBI**: Registre uma reclamação no Internet Crime Complaint Center (IC3) em [www.ic3.gov](https://www.ic3.gov/). Inclua detalhes do incidente conforme acima. * **EPA**: Entre em contato com o Escritório de Segurança Nacional da EPA via [[email protected]](mailto:[email protected]). * **DOE**: Entidades com requisitos de relatório devem seguir os procedimentos estabelecidos. Para outras consultas do setor de energia, entre em contato com [[email protected]](mailto:[email protected]).