Por Olivia O’Shaughnessy // Michael Freeman
19 de maio de 2026
Relatórios recentes serviram como um lembrete preocupante para a comunidade de cibersegurança: a IA está potencializando ataques contra infraestruturas críticas, enquanto as tensões geopolíticas adicionam ainda mais combustível ao fogo. Autoridades informadas sobre o caso revelaram que hackers suspeitos de serem cidadãos iranianos comprometeram múltiplos medidores automáticos de tanques (Automatic Tank Gauges, ATGs) em postos de combustível nos Estados Unidos, manipulando leituras exibidas e buscando níveis mais profundos de acesso aos sistemas.
Em um momento em que todos estamos extremamente atentos às oscilações dos preços globais dos combustíveis, uma ameaça direcionada aos postos de abastecimento locais representa mais um fator de instabilidade que pode impactar diretamente o consumidor final e elevar ainda mais os custos.
Essa preocupação é amplificada à medida que nos aproximamos do quinto aniversário do devastador ataque cibernético à Colonial Pipeline, um marco que mantém tanto a indústria quanto o público em um estado natural de alerta em relação à segurança do abastecimento de combustível.
Para agentes de ameaça, esses postos representam um ponto vulnerável da infraestrutura crítica. A Armis compreende essa superfície de ataque crescente e invisível. Esses incidentes recentes são um exemplo clássico de por que a visibilidade completa dos ativos de tecnologia operacional (OT) deixou de ser opcional, tornando-se uma questão urgente de segurança nacional e econômica.
O Que Sabemos
Os alvos desses ataques mais recentes são os medidores automáticos de tanques (ATGs). Esses dispositivos fazem muito mais do que simplesmente medir quanto combustível resta em um tanque. Eles monitoram vazamentos perigosos e coordenam informações de inventário com cadeias de suprimentos.
De acordo com a análise do Armis Labs, os hackers localizaram esses sistemas expostos à internet utilizando plataformas como Shodan e Censys. A maioria possuía apenas permissões de leitura. Eles interagiram com a tecnologia de deception para ATGs da Armis e não conseguiram realizar muitas ações. Também tentaram utilizar IA para descobrir como operar os dispositivos. Por fim, nossos dados mostram que os atacantes desistiram após algum tempo.
Não se trata de uma nova vulnerabilidade, mas sim de uma crise contínua de exposição. Apesar dos riscos amplamente documentados, milhares de sistemas ATG permanecem completamente expostos à internet pública, visíveis para qualquer pessoa que saiba onde procurar. Caso um adversário obtenha controle total desses sistemas, as consequências podem escalar rapidamente.
Os impactos imediatos desses riscos incluem:
- Desativação da detecção de vazamentos e dos alarmes
- Contaminação de fontes locais de abastecimento de água
- Danos ambientais
- Gerenciamento inadequado de pressão
- Problemas nos sistemas de distribuição de combustível
- Sabotagem econômica
Por Que Isso Está Acontecendo Agora?
Para entender por que o Irã está direcionando ataques a esses ativos específicos, é necessário analisar um contexto geopolítico mais amplo. Operações cibernéticas oferecem a Estados-nação uma maneira de baixo custo e difícil atribuição para projetar poder e demonstrar capacidade contra adversários tecnologicamente superiores, como os Estados Unidos.
A doutrina cibernética iraniana evoluiu agressivamente desde que o vírus Stuxnet interrompeu operações em suas instalações nucleares em 2010. Teerã passou de simples ataques de defacement de websites para o direcionamento de sistemas de controle industrial (ICS) e controladores lógicos programáveis (PLCs).
Historicamente, eles já testaram esses limites nos Estados Unidos anteriormente, como ocorreu nos ataques DDoS contra instituições financeiras entre 2011 e 2013.
Um Reflexo do Aumento dos Ataques à Infraestrutura Crítica
Esses ataques a postos de combustível são um incidente isolado? Absolutamente não. Eles fazem parte de uma tendência crescente de ataques direcionados à tecnologia operacional (OT) e à infraestrutura crítica.
Os agentes de ameaça estão mudando seu foco do roubo tradicional de dados em ambientes de TI para a interrupção de operações em ambientes OT, reconhecendo que comprometer sistemas que controlam o mundo físico gera impactos psicológicos e econômicos imediatos.
Essa crise sistêmica vai muito além das bombas de combustível. O problema central é arquitetural: esses sistemas legados foram projetados para disponibilidade e confiabilidade operacional, não para defesa cibernética. Como resultado, um número excessivo de ativos industriais críticos permanece diretamente exposto à internet, sem segmentação adequada e completamente sem monitoramento.
A IA Está Potencializando os Atacantes
A IA está mudando fundamentalmente a economia da guerra cibernética, ampliando ainda mais a vantagem dos atacantes.
No passado, mapear milhares de ATGs expostos ou sistemas de controle industrial exigia um processo manual e demorado. Hoje, ataques impulsionados por IA permitem que adversários automatizem reconhecimento e exploração em uma escala sem precedentes:
- Descoberta automatizada de ativos: Atacantes utilizam algoritmos de machine learning para analisar rapidamente enormes volumes de dispositivos expostos à internet, identificando instantaneamente ativos OT sem criptografia, sem autenticação ou configurados incorretamente.
- Exploração em escala: A IA permite que agentes de ameaça sintetizem relatórios de vulnerabilidade e gerem automaticamente códigos de exploração adaptados a versões específicas de firmwares legados em uma fração do tempo necessário para um desenvolvedor humano.
- Velocidade e integração: A IA permite que adversários sincronizem ataques técnicos com campanhas de desinformação e operações psicológicas em alta velocidade, ampliando o impacto social causado por um comprometimento físico.
O Que Vem a Seguir?
Quando ativos críticos de OT são implantados sem o conhecimento das equipes de segurança ou permanecem expostos à internet pública, eles se tornam passivos imediatos.
Para se defender dessas ameaças em constante evolução impulsionadas por IA, proprietários de ativos e formuladores de políticas públicas precisam abandonar uma postura reativa e adotar uma estratégia proativa de gerenciamento de exposição cibernética.
Em alinhamento com as recomendações da CISA e de seus parceiros federais, a Armis recomenda a adoção imediata das seguintes medidas defensivas:
- Desconectar ATGs e ativos OT da internet pública: Se acesso remoto ou consultas remotas forem absolutamente necessários, o dispositivo deve estar protegido por um gateway VPN seguro.
- Aplicar gerenciamento robusto de identidades: Eliminar imediatamente senhas padrão de fábrica. Implementar credenciais longas, complexas e exclusivas.
- Implantar firewalls industriais: Posicionar firewalls dedicados à frente de sistemas legados para filtrar tráfego não autorizado e restringir conexões de entrada.
- Implementar segmentação rigorosa de rede: Garantir que redes administrativas e corporativas estejam completamente isoladas dos ativos OT. Uma invasão em sistemas administrativos ou de pagamento jamais deve conceder acesso à infraestrutura física.
- Manter visibilidade contínua e contexto dos ativos: Utilizar plataformas automatizadas de inteligência de ativos para descobrir, monitorar e avaliar continuamente os riscos de todos os dispositivos conectados à rede, garantindo que nenhum ativo exposto à internet passe despercebido.
As consequências da exploração de ambientes OT vão muito além da perda de dados. Elas ameaçam a segurança ambiental, a estabilidade econômica e a confiança pública. À medida que adversários patrocinados por Estados utilizam IA para explorar sistemas legados, proteger a infraestrutura crítica exige o mesmo nível de velocidade, inteligência e visibilidade total. É hora de proteger o perímetro.