Uma coalizão de agências de segurança nos EUA e no exterior emitiu alerta sobre grupos pró-Rússia usando conexões VNC expostas para comprometer dispositivos de tecnologia operacional (OT) em infraestrutura crítica. O documento aponta atores oportunistas que exploram interfaces expostas com proteção fraca.
O que as agências relataram
O aviso conjunto, datado de 9 de dezembro de 2025 e resumido pela Cyber Security News, lista grupos como Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16) e Sector16. Esses atores têm priorizado alvos nos setores de água, alimentos e agricultura, e energia, atacando interfaces humanas de máquinas (HMIs) expostas via VNC.
Vetor e técnicas
Os atacantes escaneiam portas (ex.: 5900) com ferramentas de superfície de ataque como Nmap ou OpenVAS, usam VPS para executar brute-force contra senhas fracas ou padrões default e, quando obtêm acesso, manipulam GUIs para alterar parâmetros, desabilitar alarmes ou renomear dispositivos — ocasionando “loss of view” que obriga intervenções manuais.
Evidências e perfil dos grupos
As agências descrevem que esses grupos não exibem o mesmo nível técnico de APTs sofisticados; em vez disso, realizam operações de baixa complexidade mas alto impacto, documentando credenciais, screenshots e provas que divulgam publicamente para obter repercussão. O advisory referencia técnicas MITRE ATT&CK desde reconhecimento (T1595.002) até impacto (T0829).
Impacto potencial e casos observados
As consequências variam de downtime e custos de remediação até danos físicos pontuais em processos industriais. O relatório menciona um caso de abril de 2025 onde DDoS foi usado em simultâneo para facilitar acesso a SCADA, demonstrando combinação de TTPs entre operações rivais.
Mitigações recomendadas
- Eliminar exposição de OT para a internet e segmentar redes IT/OT.
- Aplicar autenticação multifator e banir contas com credenciais padrão.
- Ativar modo “view-only” em sessões VNC quando possível e auditar logs para logins incomuns.
- Empregar ferramentas de ataque de superfície para descobrir VNC expostos e revisar regras de firewall (egress/ingress).
- Testar failsafes manuais e planos de resposta: isolar, caçar, reimager e reprovisionar credenciais.
Setores e implicações
Os setores de água, agricultura e energia são explicitamente citados; os órgãos responsáveis por infraestrutura crítica devem priorizar a mitigação imediata de HMIs e a revisão de práticas de distribuição de senhas e acesso remoto.
Observações finais
O advisory ressalta que, embora muitos desses atores busquem visibilidade pública mais do que objetivos de espionagem técnica, a combinação de táticas simples com falhas de configuração em OT cria riscos reais. Onde faltam dados sobre incidentes específicos no Brasil, as medidas de hardening são universais e recomendadas a operadores críticos.
Fonte: coalizão de agências (CISA e parceiros), reportado por Cyber Security News.