Certo tempo atrás publicamos um artigo falando sobre as consequências de um ataque a infraestruturas críticas, no qual abordamos pontos como os segmentos considerados críticos segundo o CISA, exemplos de ameaças que podem ter esses ambientes como foco e dicas de abordagem para a proteção destes ambientes. Em outro momento falamos sobre as ameaças mais voltadas a América Latina e como isso tem sido recorrente nos anos que se passaram, ambos riquíssimos e recomendo fortemente a leitura.
Mesmo com estes artigos, recentemente fui questionado sobre este tema e percebi que abordá-lo desta forma talvez traga a falsa sensação de que ataques a infraestruturas críticas sejam características de uma realidade distante do Brasil, já que o que mais vemos são ataques em zonas de conflito, mas isso não é inteiramente verdade.
Primeiro é importante salientar que ataques a infraestruturas críticas acontecem frequentemente, porém, não temos relatos aqui no Brasil de danos oriundos destes ataques que tenham impossibilitado que a infraestrutura se mantivesse funcional. E para trazer ainda mais para a nossa realidade, citarei alguns ataques que aconteceram no Brasil onde o foco foram empresas detentoras de infraestruturas consideradas críticas:
Ataques ao setor de Saúde
- O Grupo Lap$us afirmou ter roubado 50 TB de informações do Ministério da Saúde, após o incidente foi percebido um problema no acesso ao site e ao aplicativo ConecteSUS.
- Por um erro de processo um funcionário do Albert Einstein divulgou usuários e senhas de acesso ao banco de dados do Ministério da Saúde em um site, expondo dados sensíveis de mais de 16 milhões de pacientes de covid.
Ataque ao setor de Energia
Duas grandes empresas do setor de energia, Copel e Eletrobras, sofreram ataques de ransomware, comprometendo diversos equipamentos do ambiente. Mesmo o ransomware tendo potencial para impactar as operações dos serviços críticos oferecidos pelas empresas ambas relataram não terem problemas de interrupção.
Ataque ao setor de Transporte
A SPTrans teve seus sistemas comprometidos e informou que os cibercriminosos tiveram acesso a dados pessoais de mais de 13 milhões de usuários do sistema Bilhete Único, além de dados cadastrais o vazamento abrange também usuários e senhas da plataforma.
Estes exemplos mostram que empresas detentoras de infraestruturas críticas podem ser atacadas, mas também deixam bem claro que existem ao menos dois focos para estes ataques, o foco em comprometer o ambiente de uma empresa (IT) considerada critica e efetivamente comprometer o serviço que essa empresa fornece (OT).
Todos os casos supracitados foram ataques direcionados ao comprometimento do ambiente e não chegaram a causar impactos severos a forma como o serviço crítico é oferecido, isso pode indicar que o foco não era a estrutura em si e sim apenas retornos financeiros. Quando os ataques tem o intuito de comprometer as estruturas críticas eles nem sempre são perceptíveis logo de cara pois costuma ser interessante para os criminosos permanecerem ocultos no ambiente até que um estrago maior realmente queira ser causado, a grande questão é que as redes do negócio podem ter acesso ao ambiente crítico e um criminoso poderia permear um próximo ambiente para causar estragos ao serviço.
As características dos controles industriais
Supondo que um ou mais grupos de cibercriminosos queriam efetivamente comprometer os serviços críticos fornecidos por empresas do Brasil, qual seria a dificuldade para a manipulação desses ambientes tão únicos?
Para responder a essa pergunta trago dois pontos sobre infraestruturas críticas que quase não vejo serem abordados:
- Similaridade: a distinção é bastante perceptível entre os diversos setores que compões a matriz de Infraestruturas Críticas, mas são muito similares quando olhamos para várias empresas de um mesmo segmento. Se pegarmos como exemplo empresas de energia elétrica, basicamente empresas de energia elétrica se subdividem em três tipos principais, geração de energia, transmissão e distribuição. Falando sobre quaisquer um dos três segmentos é possível inferir que eles vão precisar de equipamentos muito específicos para que consigam desempenhar suas atividades e, como a demanda não é a mesma de produtos mais populares existem poucas empresas que conseguem produzi-los para atender as demandas do setor elétrico. Mesmo que uma nova empresa queira começar no setor elétrico ela muito provavelmente fará uso dos mesmos equipamentos utilizados por outras empresas, e isso é uma realidade presente no mundo todo, seja para o setor elétrico ou para outros setores. Não existem 20 empresas diferentes fazendo dosadores de compostos químicos para agua, comportas ou aparelhos de controles para barragens, centrifugas para enriquecimento de urânio e todos os outros dispositivos específicos demandados por essas industrias. Mas vamos supor que novos players cheguem ao mercado e sim, nós tenhamos uma série de outros fabricantes para estes itens, muito provavelmente esbarraríamos no segundo ponto.
- Comunicação: a operação e controle de equipamentos industriais (ICS) normalmente acontecem por sistemas SCADA que, basicamente, permitem o que controlador SCADA realize determinadas operações nos sistemas cliente, que são os equipamentos específicos que eu mencionei acima. Essa comunicação é bastante objetiva e normalmente ocorre por protocolos simples de serem interpretados, caso um criminoso tenha acesso ao tráfego da rede ou entenda como essa estrutura de comunicação simples funciona, poderá desferir diversos tipos de ataques que alterarão o comportamento do sistema controlado. Isso permite aos criminosos desenvolverem um código de comunicação simples para inundarem os sistemas industriais com instruções desejadas por eles mas, caso não queiram ter esse trabalho existem ferramentas prontas para interagirem com estes sistemas e se comunicarem exatamente da forma que eles esperam.
Mesmo que não tenhamos noticias deste tipo de danos em território brasileiro vale a reflexão sobre quão complexo seria para um grupo cibercriminoso entender como determinados sistemas interagem e desferir um ataque a uma planta elétrica por exemplo. Frequentemente alertamos sobre o compartilhamento de informações e tecnologias entre grupos de cibercriminosos, seja em Foruns da Deep/DarkWeb seja via troca de informações direta entre os grupos, a possibilidade de criminosos do Brasil ou de fora obterem mais informações sobre sistemas específicos presentes em industrias daqui é real e, a meu ver, deve ser considerada como certa.
É interessante que ambientes se mobilizem tendo isso em mente para que possam adotar medidas de proteção adequadas que auxiliem a impedir tais atividades e que todos nós tenhamos ciência de que estes ambientes estão sempre muito próximos a que seremos severamente impactados em caso de incidentes.