O ataque de 2016 à rede elétrica da Ucrânia que privou parte da sua capital, Kiev, de eletricidade durante uma hora foi causado por um ataque informático. Entretanto, os investigadores da ESET analisaram recentemente algumas amostras de malware, detetado pela ESET como Win32 / Industroyer que pode ter sido, eventualmente, o responsável por este ataque.

Não é claro se este novo malware é um teste em grande escala ou não. O que importa salientar é que é capaz de prejudicar significativamente os sistemas de energia elétrica e também pode ser utilizado para atacar outros tipos de infra-estruturas críticas.

Industroyer

O Industroyer é uma ameaça particularmente perigosa, uma vez que é capaz de controlar diretamente interruptores e disjuntores elétricos. Para esse efeito, utiliza os mesmos protocolos de comunicação industrial que são utilizados nas empresas de fornecimento de energia a nível mundial, bem como nos sistemas de controlo de transportes e outros sistemas críticos (como a distribuição de água e gás).

Estes interruptores e disjuntores são os equivalentes digitais dos interruptores analógicos; tecnicamente, podem ser desenvolvidos para executarem várias funções. Deste modo as ameaças podem ter um sério impacto nas operações de uma empresa. É possível que desliguem apenas a distribuição de energia ou produzam falhas em cascata e danos mais sérios aos equipamentos. A gravidade das falhas também pode variar de uma subestação para outra. Escusado será dizer que a interrupção de tais sistemas pode afetar direta ou indiretamente o funcionamento de serviços vitais.

O perigo do Industroyer deve-se ao facto de utilizar os protocolos da mesma forma como eles foram concebidos para serem utilizados. O problema é que esses protocolos foram concebidos há décadas, e naquela época os sistemas industriais eram na maioria dos casos isolados do mundo exterior. Assim, os seus protocolos de comunicação não foram criados a pensar na segurança. Isto significa que os atacantes não precisaram de estar a procura de vulnerabilidades nos protocolos; Tudo o que precisaram de fazer foi ensinar o malware “a comunicar” na mesma linguagem desses protocolos.

Estrutura e funcionalidades chave

O Industroyer é um malware modular. A sua componente principal é uma backdoor utilizada por atacantes para gerir o ataque: ela instala e controla os outros componentes e liga-se a um servidor remoto para receber comandos e reportar aos atacantes.

O que diferencia o Industroyer de outro malware dirigido a infra-estruturas é a utilização de quatro componentes payload, que foram desenvolvidos para obter o controlo direto dos interruptores e disjuntores numa subestação de distribuição de eletricidade.

Cada um destes componentes dirigem-se a protocolos de comunicação específicos nos seguintes standards: IEC 60870-5-101, IEC 60870-5-104, IEC 61850, e OLE for Process Control Data Access (OPC DA).

Normalmente, os payloads funcionam por etapas cujos objetivos são mapear a rede e depois descobrirem os comandos que vão funcionar com os dispositivos de controle industrial específicos. Os payloads do Industroyer revelam um profundo conhecimento dos sistemas de controle industrial.

O malware contém mais alguns recursos que foram desenvolvidos para permitir que ele permaneça invísivel, de modo a garantir a persistência do malware e para limpar todos os vestígios após ter feito o seu trabalho.

Por exemplo, a comunicação com os servidores C & C ocultos em Tor pode ser limitada a horas fora do horário de trabalho. Para além disso, utiliza uma backdoor adicional – que se faz passar pela aplicação Notepad – e que foi desenvolvida para recuperar o acesso à rede direcionada no caso de a backdoor principal ser detectada e / ou desativada.

Já o módulo de limpeza foi desenvolvido para apagar do sistema as chaves do Registo suspeitas e substituir ficheiros para o sistema deixar de inicia e a recuperação ser mais difícil. Importa destacar o scanner de portas que mapeia a rede, tentando encontrar computadores relevantes: os atacantes desenvolveram a sua própria ferramenta personalizada ao invés de utiizarem software já existente. Finalmente, existe ainda outro módulo que consiste numa ferramenta de negação de serviço que explora a vulnerabilidade CVE-2015-5374 existente nos dispositivos Siemens SIPROTEC.

Conclusão

O Industroyer é um malware altamente personalizável. Embora universal, uma vez pode ser usado para atacar qualquer sistema de controlo industrial através de alguns protocolos de comunicação direcionados, os componentes encontrados nas amostras analisadas foram desenvolvidos para hardware específico. Por exemplo, o módulo de limpeza e um dos payloads estão especialmente adaptados a sistemas que incorporam determinados produtos de controlo de potência industrial pela ABB. Já o componente DoS trabalha especificamente com dispositivos Siemens SIPROTECT utilizados em subestações elétricas e outros campos de aplicação relacionados.

Apesar de ser difícil estabelecer uma ligação direta, é altamente provável que o Industroyer tenha sido utilizado no ataque de dezembro de 2016 à rede elétrica ucraniana. É que este malware possui claramente as capacidades únicas para realizar o ataque e vinha com um timestamp de ativação para 17 de dezembro de 2016, o dia da interrupção de energia.

Graças à sua capacidade de persistir nos sistemas e fornecer informações valiosas que permitem afinar os payloads, os invasores podem adaptar o malware a qualquer ambiente, o que o torna extremamente perigoso. Independentemente do recente ataque à rede de energia ucraniana poder ser um teste,  esta ameaça deve servir como um alerta para os responsáveis pela segurança de sistemas críticos em todo o mundo.

Comentários

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*