.
Getty Images
Pesquisadores descobriram um malware projetado para interromper a transmissão de energia elétrica e pode ter sido usado pelo governo russo em exercícios de treinamento para criar ou responder a ataques cibernéticos em redes elétricas.
Conhecido como CosmicEnergy, o malware tem recursos comparáveis aos encontrados em malwares conhecidos como Industroyer e Industroyer2, ambos amplamente atribuídos por pesquisadores a Sandworm, o nome de um dos grupos de hackers mais habilidosos e implacáveis do Kremlin. A Sandworm implantou o Industroyer em dezembro de 2016 para provocar uma queda de energia em Kiev, na Ucrânia, que deixou uma grande área estimada da cidade sem energia por uma hora. O ataque ocorreu quase um ano depois que um anterior interrompeu o fornecimento de energia para 225.000 ucranianos por seis horas. O Industroyer2 veio à tona no ano passado e acredita-se que tenha sido usado em um terceiro ataque às redes elétricas da Ucrânia, mas foi detectado e interrompido antes que pudesse ter sucesso.
Os ataques ilustraram a vulnerabilidade da infraestrutura de energia elétrica e a crescente habilidade da Rússia em explorá-la. O ataque em 2015 usou um malware reaproveitado conhecido como BlackEnergy. Embora o BlackEnergy3 resultante tenha permitido que o Sandworm invadisse com sucesso as redes corporativas das empresas de energia ucranianas e invadisse ainda mais seus sistemas de controle de supervisão e aquisição de dados, o malware não tinha meios de interagir diretamente com a tecnologia operacional, ou OT, equipamento.
O ataque de 2016 foi mais sofisticado. Ele usou o Industroyer, um malware escrito do zero, projetado para hackear sistemas de rede elétrica. A Industroyer era notável por seu domínio dos misteriosos processos industriais usados pelos operadores de rede da Ucrânia. O Industroyer comunicou-se nativamente com esses sistemas para instruí-los a desenergizar e reenergizar as linhas da subestação. Como o repórter da WIRED, Andy Greenberg, relatou:
O Industroyer era capaz de enviar comandos para disjuntores usando qualquer um dos quatro protocolos do sistema de controle industrial e permitia que os componentes modulares do código desses protocolos fossem trocados para que o malware pudesse ser reimplantado para atingir diferentes utilitários. O malware também incluía um componente para desabilitar dispositivos de segurança conhecidos como relés de proteção – que cortam automaticamente o fluxo de energia se detectarem condições elétricas perigosas – um recurso que parecia projetado para causar danos físicos potencialmente catastróficos ao equipamento da estação de transmissão de destino quando os operadores do Ukrenergo ligou a energia novamente.
Industroyer2 continha atualizações para Industroyer. Embora tenha falhado, seu uso em uma terceira tentativa de ataque sinalizou que as ambições do Kremlin de hackear a infraestrutura de energia elétrica ucraniana continuavam sendo uma prioridade.
Dado o histórico, a detecção de novos malwares projetados para causar interrupções generalizadas de energia é motivo de preocupação e interesse para as pessoas encarregadas de defender as redes. A preocupação aumenta ainda mais quando o malware tem vínculos potenciais com o Kremlin.
Pesquisadores da Mandiant, a empresa de segurança que fundou a CosmicEnergy, escreveram:
COSMICENERGY é o exemplo mais recente de malware OT especializado capaz de causar impactos físicos cibernéticos, que raramente são descobertos ou divulgados. O que torna o COSMICENERGY único é que, com base em nossa análise, um empreiteiro pode tê-lo desenvolvido como uma ferramenta de equipe vermelha para exercícios simulados de interrupção de energia hospedados pela Rostelecom-Solar, uma empresa russa de segurança cibernética. A análise do malware e sua funcionalidade revela que seus recursos são comparáveis aos empregados em incidentes e malware anteriores, como INDUSTRIA e INDUSTROYER.V2que eram variantes de malware implantadas no passado para impactar a transmissão e distribuição de eletricidade via IEC-104.
A descoberta do COSMICENERGY ilustra que as barreiras de entrada para o desenvolvimento de capacidades OT ofensivas estão diminuindo à medida que os atores aproveitam o conhecimento de ataques anteriores para desenvolver novos malwares. Dado que os agentes de ameaças usam ferramentas de equipe vermelha e estruturas de exploração pública para atividades de ameaças direcionadas na natureza, acreditamos que a COSMICENERGY representa uma ameaça plausível aos ativos da rede elétrica afetados. Os proprietários de ativos OT que utilizam dispositivos compatíveis com IEC-104 devem tomar medidas para impedir o potencial na implantação selvagem do COSMICENERGY.
No momento, o link é circunstancial e limitado principalmente a um comentário encontrado no código sugerindo que ele funciona com software projetado para exercícios de treinamento patrocinados pelo Kremlin. Consistente com a teoria de que o CosmicEnergy é usado nos chamados exercícios Red Team que simulam hacks hostis, o malware não tem a capacidade de se enterrar em uma rede para obter informações do ambiente que seriam necessárias para executar um ataque. O malware inclui endereços de objetos de informações codificados normalmente associados a interruptores ou disjuntores de linha de energia, mas esses mapeamentos teriam que ser personalizados para um ataque específico, pois diferem de fabricante para fabricante.
“Por esse motivo, as ações específicas pretendidas pelo ator não são claras sem mais conhecimento sobre os ativos visados”, escreveram os pesquisadores da Mandiant.
.
