cyberav3ngers - RunkIntel

# CyberAv3ngers > [!danger] Ameaça Direta a Infraestrutura de Água e Energia > O CyberAv3ngers comprometeu sistemas de **tratamento de água** nos EUA e infraestrutura de **energia** em Israel. O [[iocontrol]] com geo-fencing ativo pode causar interrupção física de serviços essenciais para a população. > [!warning] Relevância para Brasil - ANATEL e CERT.br > O Brasil possui extensa infraestrutura OT com dispositivos frequentemente expostos à internet e desatualizados. Operadores de saneamento e energia devem monitorar MQTT (porta 8883) como canal potencial de C2. O protocolo MQTT é amplamente usado em ambientes industriais legítimos, dificultando a detecção. > [!info] Atribuição - IRGC-CEC > O CyberAv3ngers é operado pelo **Corpo Eletrônico do Comando Cibernético do IRGC (IRGC-CEC)**, unidade distinta do IRGC dedicada a operações cibernéticas. O Departamento de Estado dos EUA oferece recompensa de até US$ 10 milhões por informações sobre membros do grupo. ## Resumo O **CyberAv3ngers** é um grupo de ameaça iraniano vinculado ao Corpo Eletrônico do Comando Cibernético do IRGC (IRGC-CEC), especializado em ataques contra sistemas de tecnologia operacional (OT) e sistemas de controle industrial (ICS). Ativo desde 2023, o grupo se tornou uma das ameaças mais significativas para operadores de [[critical-infrastructure|infraestrutura crítica]], particularmente nos setores de [[energy]] e [[água]]. O grupo ganhou notoriedade global após ataques a sistemas de tratamento de água e infraestrutura energética nos EUA e em Israel, demonstrando capacidade técnica para comprometer controladores lógicos programáveis (PLCs) e outros dispositivos OT conectados à internet. ## Attack Flow ```mermaid graph TB A["Scan Internet PLCs Expostos"] --> B["Exploit OT Unitronics / SCADA"] B --> C["IOCONTROL Deploy Malware IoT/OT"] C --> D["MQTT C2 Porta 8883 TLS"] D --> E["Geo-Fencing Ativação Regional"] E --> F["Disrupção Física Água / Energia"] classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff classDef azul fill:#3498db,stroke:#2980b9,color:#fff class A,B vermelho class C,D laranja class E,F azul ``` **Legenda:** Varredura de dispositivos ICS/OT expostos na internet, exploração de PLCs Unitronics, deploy do IOCONTROL com C2 via MQTT (protocolo industrial legítimo), capacidade de geo-fencing para ativação seletiva por região e disrupção física de sistemas de água e energia. ## TTPs e Ferramentas O CyberAv3ngers se destaca pelo desenvolvimento do malware [[iocontrol]], uma ferramenta especializada para comprometimento de dispositivos IoT e OT industriais. O [[iocontrol]] utiliza o protocolo MQTT sobre TLS (porta 8883) para comunicação C2, aproveitando o protocolo [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] amplamente utilizado em ambientes industriais legítimos para comunicação machine-to-machine, o que dificulta significativamente a detecção. Uma característica avançada do [[iocontrol]] é sua capacidade de geo-fencing, permitindo que o malware ative funcionalidades destrutivas apenas quando detecta que está operando em uma região geográfica específica. Isso demonstra uma abordagem direcionada que minimiza a detecção em ambientes de análise. O grupo utiliza [[t0866-exploitation-of-remote-services-ics|T0866 - Exploitation of Remote Services - ICS]] para explorar serviços remotos em ambientes industriais, combinado com [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] para comprometer dispositivos OT expostos à internet. A técnica [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] é empregada para tunelamento de comunicação C2 através de protocolos industriais legítimos. ## Campanhas As campanhas documentadas do CyberAv3ngers incluem ataques a sistemas de tratamento de [[água]] nos Estados Unidos, onde o grupo comprometeu PLCs Unitronics Vision Series expostos à internet. Também foram registrados ataques a sistemas de controle de [[energy]] em Israel e no Oriente Médio. As operações do grupo demonstram um padrão de escalada progressiva: de ataques oportunistas a dispositivos expostos para operações mais sofisticadas utilizando malware customizado como o [[iocontrol]], indicando aumento contínuo de capacidade técnica. ## Relevância LATAM O CyberAv3ngers representa uma ameaça relevante para a América Latina, especialmente considerando o cenário de [[critical-infrastructure|infraestrutura crítica]] na região. O [[latam|Brasil]] possui extensa infraestrutura de [[energy]] e [[água]] com dispositivos OT frequentemente expostos à internet e com patches desatualizados. A ANATEL e o CERT.br devem monitorar indicadores de comprometimento associados ao [[iocontrol]]. Operadores de infraestrutura de saneamento e energia no Brasil e na região devem priorizar a segmentação de redes OT e a remoção de dispositivos ICS da internet pública. O protocolo MQTT na porta 8883 deve ser monitorado como potencial canal de C2. ## Atores Iranianos Relacionados Vejá também: [[g1044-apt42|APT42]] · [[g0069-mango-sandstorm|MuddyWater]] · [[void-manticore|Void Manticore]] ## Detecção e Mitigação - Remover imediatamente dispositivos ICS e PLCs da exposição direta à internet - Monitorar tráfego MQTT (porta 8883) em redes OT para padrões anômalos indicativos de [[iocontrol]] - Segmentar redes OT/IT com firewalls e zonas desmilitarizadas (DMZ) industriais - Aplicar patches de segurança em PLCs Unitronics e outros dispositivos OT expostos - Implementar detecção de [[t0866-exploitation-of-remote-services-ics|T0866 - Exploitation of Remote Services - ICS]] com monitoramento de protocolos industriais - Monitorar [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] com scans regulares de superfície de ataque OT - Manter inventário atualizado de todos os dispositivos OT conectados à rede ## Recomendações para Brasil e LATAM O CyberAv3ngers alçou a operacionalização de ataque a infraestrutura crítica a um novo nível. O Brasil, com extensa malha de distribuidoras de energia elétrica, operadores de saneamento e sistemas de abastecimento de água, é potencialmente vulnerável. Sistemas legados em fazendas de água e subestações frequentemente funcionam com pouca segurança de rede. Reguladores (ANATEL, CERT.br, ONS) devem colaborar com operadores na remoção de dispositivos ICS da exposição pública e na implementação de monitoramento de C2 MQTT. A capacidade de geo-fencing do [[iocontrol]] sugere que ataques podem ser desencadeados remotamente contra regiões específicas do Brasil quando o grupo decidir. > [!danger] Risco à Infraestrutura Crítica Brasileira > O Brasil é um alvo plausível para o CyberAv3ngers dado o vínculo iraniano do grupo, questões geopolíticas e a qualidade da infraestrutura de defesa cibernética OT. Operadores devem implementar air-gapping para sistemas críticos e monitoramento 24/7 de tráfego suspeito. ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.