Nation-State Tactics and What Defenders Should Do
Utilidades de água nos Estados Unidos e Europa estão sob crescente pressão enquanto hackers continuam encontrando maneiras fáceis de entrar. Atores de estado-nação e grupos afiliados têm explorado silenciosamente sistemas de controle expostos à internet e credenciais de login fracas para acessar infraestrutura de água e esgoto. De 2024 a 2026, os ataques mudaram de atividade oportunista para uma característica deliberada da competição de nível estatal.
Países como Irã, Rússia e China usaram o acesso à infraestrutura de água como ferramenta estratégica. Analistas da DomainTools notaram que essas intrusões são impulsionadas por uma doutrina compartilhada: atingir utilidades civis fornece alavancagem estratégica. O relatório alerta que sistemas de água agora são tratados como pontos de pressão, usados para criar medo e testar limiares de resposta de emergência.
Indicators of Compromise (IoCs)
Os ataques dependem fortemente de falhas básicas de segurança. Atores exploram controladores lógicos programáveis (PLCs) expostos à internet, senhas fracas ou padrão, contas de operador compartilhadas e segmentação de rede IT/OT pobre. Agências federais dos EUA, incluindo CISA, FBI, NSA e EPA, alertaram que muitas utilidades permanecem perigosamente expostas.
Exemplos incluem o grupo iraniano CyberAv3ngers, que usou credenciais de fábrica padrão para acessar PLCs Unitronics Vision Series. Grupos ligados à Rússia causaram transbordamento de tanques de água em Texas e Noruega. A China, através do grupo Volt Typhoon, buscou acesso de longo prazo em ambientes de TI de água e esgoto.
O que fazer agora
Utilidades de água devem tomar medidas imediatas para reduzir a exposição. Isso inclui remover PLCs e HMIs do acesso direto à internet, substituir senhas padrão e compartilhadas, e implementar autenticação multifator. A separação de redes de TI de redes de controle operacional é fundamental.
Relatar incidentes à CISA e coordenar com parceiros federais para suporte de cibersegurança é fortemente encorajado. O monitoramento de tráfego malicioso em portas de controle industrial e o uso de ferramentas como Dropbear SSH para acesso remoto devem ser priorizados nos sistemas de detecção de intrusão.