Industroyer: uma ciberameaça que derrubou uma rede elétrica
A 12 de junho de 2017, investigadores da ESET publicaram as suas descobertas sobre um novo e único malware capaz de causar um apagão elétrico generalizado. O Industroyer, nome que a ameaça recebeu, foi o primeiro malware desenvolvido especificamente para atacar uma rede elétrica.
De facto, o Industroyer já tinha sido implantado alguns meses antes e tinha tido um efeito considerável: em 17 de dezembro de 2016, fez com que milhares de casas em partes de Kiev, na Ucrânia, ficassem sem energia elétrica por cerca de uma hora. Isto aconteceu depois do malware atacar uma subestação de energia elétrica local. Alguns dias depois, o investigador de malware da ESET, Anton Cherepanov, começou a “dissecar” o Industroyer.
Uma bomba relógio
Depois de ser implantado no sistema, o Industroyer propagou-se pela rede da subestação em busca de dispositivos específicos de controlo industrial com protocolos de comunicação através dos quais se pudesse propagar. Desta forma, como uma bomba relógio à espera de explodir, a ameaça aparentemente abriu todos os disjuntores de uma vez, desafiando qualquer tentativa de recuperação do controlo por parte dos operadores da subestação: se um operador tentasse fechar um disjuntor, o malware reabriria-o.
Para não deixar qualquer rasto, o malware lançou um wiper, um tipo de malware que apaga dados, concebido para fazer com que os computadores da subestação se tornassem inoperáveis e atrasar o regresso às operações normais. De facto, o wiper falhou várias vezes, mas se tivesse tido mais sucesso, as consequências poderiam ter sido muito piores, especialmente no inverno, quando uma queda de energia pode causar até mesmo fissuras em canos cheios de água ao serem congelados.
Para finalizar, o malware tentou desativar alguns dos relés de proteção na subestação, mas isso também falhou. Sem o funcionamento dos relés de proteção, o equipamento da subestação poderia ter sido exposto a um alto risco de danos quando os operadores finalmente restabelecessem a transmissão de energia elétrica.
Como Cherepanov e o seu colega investigador da ESET, Robert Lipovsky, mencionaram na altura, a sofisticação do Industroyer faz com que seja possível adaptar o malware a qualquer ambiente semelhante. De facto, os protocolos de comunicação industrial utilizados pela Industroyer são usados não apenas em Kiev, mas também “na infraestrutura de fornecimento de energia, sistemas de controlo de transporte e outros sistemas de infraestrutura crítica (como água e gás) em todo o mundo”.
Por outro lado, considerando a sofisticação do Industroyer, o seu impacto acabou por ser relativamente baixo, como os próprios investigadores da ESET apontaram em 2017. Talvez tenha sido apenas um teste para futuros ataques, ou talvez tenha sido um sinal do que o grupo por detrás da sua criação era capaz de fazer.
O trabalho do Sandworm
Segundo os investigadores da ESET, o comportamento do malware reflete as intenções maliciosas daqueles que o criaram. Na conferência Virus Bulletin de 2017, Lipovsky observou que “os atacantes tinham que perceber a arquitetura de uma rede elétrica, quais os comandos a enviar e como poderiam realizar o processo”. Os seus criadores percorreram um longo caminho para criar este malware, e o seu objetivo não era apenas uma falha de energia. “Alguns detalhes na configuração do Industroyer sugerem que seus criadores queriam causar danos ao nível do equipamento, bem como o seu mau funcionamento”.
Na conferência Black Hat 2017, Cherepanov também observou que “parece altamente improvável que alguém possa escrever e testar tal malware sem acesso ao equipamento especializado utilizado no ambiente industrial específico”.
Em outubro de 2020, os Estados Unidos atribuíram o ataque a seis oficiais pertencentes ao Sandworm, o nome dado à Unidade 74455 da Direção Geral de Inteligência (GRU) da Rússia.
Industroyer 2: O retorno do Industroyer
Estamos em 2022 e não é surpresa que a telemetria ESET tenha mostrado um aumento nos ciberataques contra a Ucrânia nas semanas prévias e posteriores à invasão russa a 24 de fevereiro.
Em 12 de abril, juntamente com a CERT-UA, a equipa de investigadores da ESET anunciou que tinha identificado uma nova variante do Industroyer, a que chamaram Industroyer 2, que visava um fornecedor de energia elétrica na Ucrânia. Esta nova variante tinha sido programada para cortar o fornecimento de energia numa região da Ucrânia no dia 8 de abril. Felizmente, o ataque foi bloqueado antes que pudesse causar mais estragos num país já devastado pela guerra. A equipa de investigadores da ESET acredita que o Sandworm foi mais uma vez responsável por este novo ataque.
Um prenúncio do que está por vir
Nos últimos anos, tornou-se mais do que claro que os serviços de infraestrutura crítica do mundo correm um grande risco de interrupções. A série de incidentes que afetaram a infraestrutura crítica na Ucrânia ao longo do tempo (e noutras partes do mundo) ajudou a aumentar a consciencialização em relação aos riscos de serviços críticos e da possibilidade de ciberataques que causam falhas potenciais de energia, corte no fornecimento de água, interrupções na distribuição de combustível, perda de dados médicos e muitas outras consequências que podem fazer muito mais do que interromper as nossas rotinas diárias: podem ameaçar a vida.
Em 2017, tanto Cherepanov como Lipovsky concluíram o artigo sobre a pesquisa com um aviso que, cinco anos depois, continua a ser relevante: “Independentemente do recente ataque à rede elétrica ucraniana ter sido ou não um teste, o incidente deve servir como um alerta para os responsáveis pela segurança de sistemas críticos em todo o mundo”.
