Junho parece ser historicamente rico em eventos importantes relacionados com a segurança de sistemas industriais.

Por exemplo, 17 de junho de 2010, pode ser considerado o dia em que o Stuxnet foi descoberto, ou seja, o malware responsável pelo primeiro ataque informático a atingir infra-estruturas críticas. Entretanto em junho de 2014 houve relatos de ataques contra várias empresas através do Havex, um troiano controlado remotamente que colecionava dados dos sistemas ISC / SCADA.

Mais recentemente, neste mês de junho de 2017, publicámos a nossa análise ao Industroyer, outra grande ameaça para os sistemas ICS.

Stuxnet: O primeiro e inigualável ao nível da complexidade

O Stuxnet consistia num worm que foi descoberto pela empresa de segurança de TI bielorussa, VirusBlokAda, a 17 de junho de 2010 (o dia em que foi publicada a descrição do malware – na altura com outro nome).

Este malware teve um papel fundamental no que foi considerado o ciberataque mais sofisticado de sempre: uma operação contra o programa nuclear iraniano. Apesar de alguns contratempos e de alguns erros ao nível de código que estavam presentes no malware Stuxnet, o ataque desacelerou o processo de enriquecimento de urânio em Natanz (uma instalação nuclear iraniana) e, eventualmente, atrasou o processo de criação de armas nucleares.

O Stuxnet foi o primeiro malware a ter como alvo sistemas industriais e o primeiro a incluir um rootkit com controlador de lógica programável – uma técnica avançada de ocultação. No caso do Stuxnet, foi possível camuflar a sua interferência com a velocidade de rotação do motor dos sistemas de verificação.

O ataque do Stuxnet teve várias fases. Na primeira, o Stuxnet, por si só, um worm para computador, espalhou-se indiscriminadamente pelas redes. Através da exploração de quatro vulnerabilidades anteriormente desconhecidas – e normalmente apelidadas de zero-day – disponibilizou um payload especial que visava sistemas SCADA específicos e que tinha a capacidade de reprogramar os dispositivos.

É amplamente conhecido que a operação Stuxnet danificou as centrifugadoras utilizadas no processo de enriquecimento de urânio alterando a velocidade do rotor. As vibrações e as distorções causadas por grandes e repentinas mudanças na velocidade destruíram – segundo as estimativas publicadas – aproximadamente 1.000 centrigufadoras. Como os iranianos não as conseguiram substituir rapidamente, acabaram por produzir menos urânio enriquecido do que se esperava.

Pouco valorizado nas descrições da operação Stuxnet está outra fase do ataque. Antes que os atacantes procedessem às alterações na velocidade das centrifugadoras, tentaram danificar os rotores ao aumentarem significativamente a pressão.

As centrifugadoras de gás para o enriquecimento de urânio são extremamente sensíveis à pressão e normalmente, operam sob vácuo. Qualquer aumento diminui a eficácia no enriquecimento, sendo que maiores aumentos levam a mudanças no processo e coloca maior “stress” mecânico no rotor.

Atuando como man-in-the-middle, os atacantes conseguiram manipular os valores do processo dentro do controlador. Como resultado, o código legítimo foi executado mas baseou-se em valores de entrada falsos para chegar ao resultado desejado: a pressão nas centrifugadoras foi muito maior do que deveria ter sido enquanto o sistema relatava valores padrão aos operadores.

As razões pelas quais os danos não foram tão elevados como se esperava, provavelmente nunca vão ser conhecidas.

Independentemente se a operação Stuxnet ter sido ou não bem sucedida de um ponto de vista geopolítico, continua a ser totalmente avaliada (dado que os detalhes permanecem ocultos nos arquivos dos serviços secretos, tal avaliação deve aguardar até sua desclassificação).

Do ponto de vista da segurança informática, o Stuxnet foi um evento revolucionário que deveria ter servido de alerta para todos os envolvidos na segurança dos sistemas industriais. Como Ralph Langner escreveu no artigo To Kill a Centrifuge: “Apesar do ataque ter sido altamente específico, as táticas de ataque e a tecnologia não são; São genéricas e também podem ser utilizadas contra outros alvos “.

Quatro anos após Stuxnet: os ataques de recolha de dados do Havex

Em junho de 2014 foi detetado outro malware que atacou os fabricantes de aplicações industriais e máquinas na Europa e EUA. O nome da ameaça era Havex, um troiano controlado remotamente e que que colecionava dados dos sistemas ISC / SCADA.

O ataque foi, aparentemente, uma tentativa de obter informações necessárias para novos ataques a infra-estruturas que utilizavam o hardware de determinados fabricante.

Embora não tenha sido detetado nenhum ataque às posteriori, o ataque da Havex de 2014 lembra que os criminosos possuem ferramentas e as informações necessárias para atacarem os sistemas industriais.

Sete anos depois do Stuxnet

Ontem publicámos a análise ao Industroyer, a maior ameaça para sistemas industriais desde o Stuxnet.

O Industroyer é uma ameaça particularmente perigosa, uma vez que é capaz de controlar diretamente interruptores e disjuntores elétricos. Para esse efeito, utiliza os mesmos protocolos de comunicação industrial que são utilizados nas empresas de fornecimento de energia a nível mundial, bem como nos sistemas de controlo de transportes e outros sistemas críticos (como a distribuição de água e gás).

Estes interruptores e disjuntores são os equivalentes digitais dos interruptores analógicos; tecnicamente, podem ser desenvolvidos para executarem várias funções. Deste modo as ameaças podem ter um sério impacto nas operações de uma empresa. É possível que desliguem apenas a distribuição de energia ou produzam falhas em cascata e danos mais sérios aos equipamentos. A gravidade das falhas também pode variar de uma subestação para outra. Escusado será dizer que a interrupção de tais sistemas pode afetar direta ou indiretamente o funcionamento de serviços vitais.

O perigo do Industroyer deve-se ao facto de utilizar os protocolos da mesma forma como eles foram concebidos para serem utilizados. O problema é que esses protocolos foram concebidos há décadas, e naquela época os sistemas industriais eram na maioria dos casos isolados do mundo exterior. Assim, os seus protocolos de comunicação não foram criados a pensar na segurança. Isto significa que os atacantes não precisaram de estar a procura de vulnerabilidades nos protocolos; Tudo o que precisaram de fazer foi ensinar o malware “a comunicar” na mesma linguagem desses protocolos.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*