O **Federal Bureau of Investigation (FBI)**, a **Cybersecurity and Infrastructure Security Agency (CISA)**, a **National Security Agency (NSA)**, a **Environmental Protection Agency (EPA)**, o **Department of Energy (DOE)** e o **United States Cyber Command – Cyber National Mission Force (CNMF)** estão emitindo conjuntamente um alerta urgente sobre a exploração de dispositivos de tecnologia operacional (OT) conectados à internet, especificamente controladores lógicos programáveis (PLCs) da **Rockwell Automation/Allen-Bradley**, em setores de infraestrutura crítica dos EUA. Esta atividade resultou em interrupções através de interações maliciosas com arquivos de projeto e manipulação de dados em displays de interface homem-máquina (HMI) e sistemas de controle supervisorio e aquisição de dados (SCADA). Em alguns casos, isso levou a interrupções operacionais e perdas financeiras. ### Setores Alvo e Atores da Ameaça As agências autoras avaliam que atores de APTs afiliados ao Irã estão por trás desses ataques, visando causar efeitos disruptivos dentro dos Estados Unidos. Os setores visados incluem: * Serviços e Instalações Governamentais * Sistemas de Água e Esgoto (WWS) * Energia Anteriormente, atividades semelhantes visando PLCs foram atribuídas ao **CyberAv3ngers** (também conhecido como Shahid Kaveh Group), um ator de ameaça cibernética afiliado ao Comando Cibernético Eletrônico (CEC) da Guarda Revolucionária Islâmica (IRGC) do Irã. ### Ações Recomendadas As organizações dos EUA são instadas a revisar as táticas, técnicas e procedimentos (TTPs) e os indicadores de comprometimento (IOCs) fornecidos no aviso. As ações-chave incluem: * Remover PLCs da exposição direta à internet através de gateway seguro e firewall. * Consultar logs disponíveis para os IOCs fornecidos. * Verificar logs em busca de tráfego suspeito nas portas de dispositivos OT (por exemplo, `44818`, `2222`, `102` e `502`), especialmente de provedores de hospedagem no exterior. * Para dispositivos Rockwell Automation, colocar o switch de modo físico no controlador na posição de execução. ### Indicadores de Comprometimento IOCs estão disponíveis para download: * [AA26-097A STIX XML](https://www.cisa.gov/sites/default/files/2026-04/AA26-097A.stix_.xml) (35KB) * [AA26-097A STIX JSON](https://www.cisa.gov/sites/default/files/2026-04/AA26-097A.stix_.json) (12 KB) ### Orientação da Rockwell Automation Organizações que utilizam PLCs Rockwell Automation/Allen-Bradley devem revisar as seguintes orientações: * [PN1550 | CVE-2021-22681: Vulnerabilidade de Bypass de Autenticação Encontrada em Controladores Logix](https://www.rockwellautomation.com/en-fi/trust-center/security-advisories/advisory.PN1550.html) (publicado em 2021) * [SD1771 | Rockwell Automation Reitera Orientação ao Cliente para Desconectar Dispositivos da Internet e Fortalecer PLCs para Proteger contra Ameaças Cibernéticas](https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1771.html) (publicado em 2026) Entre em contato com a Rockwell Automation Product Security Incident Response Team (PSIRT) em [[email protected]](mailto:[email protected]) para dúvidas ou para relatar incidentes. ### Contexto Histórico Campanhas semelhantes foram observadas desde novembro de 2023, com o **CyberAv3ngers**, afiliado ao CEC da IRGC, visando PLCs e HMIs baseados nos EUA, causando efeitos disruptivos. Esses ataques comprometeram pelo menos 75 dispositivos, visando dispositivos PLC Unitronics baseados nos EUA com HMI usados em múltiplos setores de infraestrutura crítica, incluindo WWS. Este grupo também é conhecido como Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691 e Shahid Kaveh Group.