O uso de protocolos desatualizados e credenciais padrão em sistemas de controle industrial (ICS) tem sido explorado por grupos de hacktivistas para realizar invasões, interrupções e até sabotagens em redes de infraestrutura crítica. O alerta foi emitido pelo Centro Canadense de Cibersegurança (Cyber Centre), que aponta o aumento de campanhas direcionadas a ambientes industriais com acesso direto à internet. Segundo o relatório AL25-016, os ataques não se limitam a espionagem ou extorsão.
Muitos grupos buscam impacto simbólico e visibilidade política, explorando falhas de segurança em sistemas antigos que continuam ativos em setores essenciais como energia, saneamento, transporte e manufatura. Esses ambientes, projetados décadas atrás, priorizavam estabilidade e desempenho, não segurança cibernética. Muitos ainda utilizam protocolos sem criptografia, como Modbus, DNP3 e OPC Classic, permitindo interceptação e injeção de comandos falsos. Em paralelo, senhas padrão de fábrica e contas administrativas sem autenticação multifator continuam comuns em controladores lógicos programáveis (PLCs) e painéis de supervisão (HMIs). Os invasores costumam localizar esses sistemas por meio de mecanismos de busca especializados, como Shodan e Censys, identificando dispositivos industriais conectados publicamente. Uma vez encontrados, realizam varreduras automáticas, testam credenciais conhecidas e exploram falhas em serviços de acesso remoto, como RDP e VNC, para assumir o controle.
O alerta do Cyber Centre destaca que, mesmo sem a intenção de causar danos físicos, a manipulação de sensores, válvulas ou alarmes pode gerar consequências graves, incluindo paradas de produção, falhas ambientais e riscos à segurança de trabalhadores. Em alguns casos, hacktivistas divulgaram capturas de telas e configurações de sistemas comprometidos em fóruns e redes sociais para demonstrar sua ação. Entre as recomendações imediatas estão o bloqueio de acesso direto à internet em equipamentos de tecnologia operacional (OT), a segmentação de redes industriais e corporativas, e a substituição de protocolos antigos por versões seguras com autenticação e criptografia. O uso de VPNs restritas e listas de controle de acesso também é indicado para conexões remotas inevitáveis.
