Hackers ligados ao Irã estão atacando ativamente milhares de controladores lógicos programáveis (PLCs) fabricados pela **Rockwell Automation**, expostos à Internet, em ciberataques contra redes de infraestrutura crítica dos EUA. De acordo com um alerta conjunto emitido por várias agências federais dos EUA, grupos de hackers apoiados pelo estado iraniano têm visado dispositivos PLC da **Rockwell Automation/Allen-Bradley** desde março de 2026, causando interrupções operacionais e perdas financeiras. "Campanhas de direcionamento de APTs afiliadas ao Irã contra organizações dos EUA escalaram recentemente, provavelmente em resposta às hostilidades entre o Irã, os Estados Unidos e Israel", alertaram as agências autoras. O **FBI** confirmou que essa atividade resultou na extração do arquivo de projeto do dispositivo e na manipulação de dados em displays HMI e SCADA. ### PLCs Expostos: Um Risco Significativo A empresa de cibersegurança **Censys** relata que mais de 5.200 sistemas de controle industrial estão expostos online globalmente, com uma parcela significativa originária dos Estados Unidos. "Dados da Censys identificam 5.219 hosts expostos à Internet globalmente respondendo a EtherNet/IP (EIP) e se autoidentificando como dispositivos **Rockwell Automation/Allen-Bradley**", declarou a Censys. "Os Estados Unidos representam 74,6% da exposição global (3.891 hosts), com uma parcela desproporcional em ASNs de operadoras de celular, indicativo de dispositivos implantados em campo em modems celulares."  *PLCs Rockwell/Allen Bradley expostos à Internet (Censys)* ### Estratégias de Mitigação Para se defender contra esses ataques em andamento, os defensores de rede são aconselhados a: * Proteger os PLCs usando um firewall ou desconectá-los da Internet. * Verificar logs em busca de sinais de atividade maliciosa. * Verificar tráfego suspeito em portas de OT (especialmente quando se origina de provedores de hospedagem no exterior). * Impor autenticação multifator (MFA) para acesso a redes de OT. * Manter todos os dispositivos PLC atualizados. * Desabilitar serviços e métodos de autenticação não utilizados. ### Ecos de Ataques Passados Esta campanha segue ataques semelhantes de quase três anos atrás, quando um grupo de ameaças afiliado ao Corpo da Guarda Revolucionária Islâmica (IRGC) do Governo Iraniano e rastreado como **CyberAv3ngers** explorou vulnerabilidades em sistemas de tecnologia operacional (OT) da **Unitronics** baseados nos EUA. **CyberAv3ngers** comprometeu pelo menos 75 dispositivos PLC da **Unitronics** entre novembro de 2023 e janeiro de 2024, com metade deles impactando redes de infraestrutura crítica de Sistemas de Água e Esgoto nos Estados Unidos. Mais recentemente, o grupo hacktivista **Handala** (ligado ao Ministério de Inteligência e Segurança do Irã) apagou aproximadamente 80.000 dispositivos da rede da gigante médica americana **Stryker**, incluindo dispositivos móveis de funcionários e computadores pessoais gerenciados pela empresa.