Em 17 de dezembro do ano passado, a capital da Ucrânia (Kiev) foi atingida por um apagão durante aproximadamente 75 minutos. Pesquisadores locais confirmaram que a interrupção de energia foi causada por um ataque cibernético.
Pouco tempo depois, os pesquisadores da ESET descobriram e analisaram um sofisticado novo malware, que é o principal suspeito nesse caso. Batizado como Industroyer, foi considerado a maior ameaça aos Sistemas de Controle Industrial (ICS) desde Stuxnet.
Esse perigoso malware foi desenvolvido para explorar vulnerabilidades nesses sistemas e os protocolos de comunicação usados, ou seja, sistemas desenvolvidos décadas atrás com quase nenhuma consideração de medidas de segurança.
A seguir, leia a entrevista com Robert Lipovsky, pesquisador sênior de malware da ESET, e saiba mais sobre essa ameaça cibernética.
O que é o Industroyer?
O Industroyer é uma ferramenta maliciosa nas mãos de um atacante muito dedicado, bem financiado e persistente. O malware pode persistir na rede comprometida e interferir diretamente nos processos de trabalho críticos nessas instalações.
Qual o nível de perigo do Industroyer?
O prejuízo potencial depende da configuração de cada instalação em particular e pode variar, por exemplo, de uma subestação para outra. Pode ser desde um simples apagão local até falhas em cascata ou grandes prejuízos ao hardware.
Como isso é possível?
O maior problema é que esses sistemas industriais e os protocolos de comunicação utilizados, para os quais o Industroyer está direcionado, são usados a nível mundial e foram desenvolvidos há décadas atrás, sem a segurança em mente.
Por que o Industroyer é comparado com o Stuxnet?
O grupo por trás do Stuxnet definitivamente sabia o que estava fazendo, ou seja, visava o programa nuclear iraniano. O malware conseguiu tomar o controle de máquinas centrífugas em instalações nucleares.
O mesmo se aplica ao Industroyer, ou ao grupo por trás dele. Os criminosos demonstraram um profundo conhecimento sobre os sistemas de controle industrial e implementaram funções no malware, permitindo uma comunicação direta com os interruptores e disjuntores usados nas subestações da rede elétrica.
O Industroyer é o responsável pelos apagões na Ucrânia?
O maior apagão ocorreu em dezembro de 2015, quando cerca de 250 mil famílias em várias regiões do país ficaram sem energia por várias horas. Isso foi realizado pelo malware chamado Black Energy.
Em dezembro de 2016, quase um ano depois, houve outro apagão. Foi bem menor em escala, durou apenas uma hora, e atingiu apenas uma região, mas foi conduzido por um malware mais avançado. O Industroyer é o principal suspeito nesse segundo caso.
Quem é o responsável por esse ataque?
A atribuição desses tipos de ataques é sempre complicada e, muitas vezes, impossível. Dessa vez, não há pistas que possam apontar para qualquer direção e, é claro, não queremos especular.
Qual é a principal conclusão da análise do Industroyer?
O impacto relativamente baixo do recente apagão está em grande contraste com o nível técnico e a sofisticação do malware suspeito. Então, a possível explicação para isso, que é a opinião de muitos pesquisadores de segurança, é que tenha sido um teste em grande escala.
Seja ou não verdade, a principal conclusão dessa análise é que o caso também é uma grande alerta para todos os responsáveis pela segurança de sistemas de controle industrial e infraestruturas críticas em todo o mundo.
Saiba mais sobre o Industroyer (no white paper) e sobre o Black Energy (em uma publicação do WLS em inglês).