O finalzinho de 2015 teve uma reviravolta interessante quando centenas de milhares de casas, o equivalente à metade do número de residências na região de Ivano-Frankivsk na Ucrânia, ficaram no escuro – literalmente. O incidente foi bem diferente da queda reportada anteriormente, causada por explosivos colocados por supostos nacionalistas ucranianos na península da Crimeia, em novembro passado. Esse incidente, disseram os pesquisadores, foi causado por um malware em seu sistema, resultando em uma interrupção de energia de 6 horas em 23 de dezembro.
De acordo com o pesquisador de malware Robert Lipovsky, embora a autoridade de energia da Ucrânia Ocidental, Prykarpattyaoblenergo, tenha sido a única empresa que divulgou detalhes de uma queda de energia, duas outras usinas elétricas também foram afetadas por um malware similar encontrado em suas redes.
Com o serviço de segurança da Ucrânia acusando a Rússia pela queda de energia – devido à rivalidade militar e política atual entre os dois países – as investigações levaram à descoberta de uma amostra de malware que se diz ter causado o apagão. O especialista em cibersegurança Robert M. Lee observou em seu registro, “o malware é um arquivo executável Windows 32 bit e é modular por natureza, indicando que esse é um módulo de um malware mais complexo.”
Um pouco depois, Lee trabalhou com o Pesquisador de Ameaças Futuras da Trend Micro, Kyle Wilhoit, que confirmou que o malware tem um rotina de limpeza que pode impactar no sistema infectado. Logo após a investigação inicial de Lee, vários analistas e pesquisadores confirmaram que as usinas elétricas foram de fato afetadas por um ataque cibernético, tornando esse incidente a primeira queda de energia causada por um malware.
Consistente com insights de outros analistas e pesquisadores, Wilhoit disse, “esse evento é preocupante e interessante, ao mesmo tempo. Por um lado, tivemos a primeira informação pública relativa a um malware tirando do ar dispositivos SCADA. Isso é evidentemente ruim por si próprio. O que pode vir em seguida, por exemplo? Porém, por outro lado, estamos lidando com algo incrivelmente interessante e nunca visto antes publicamente – o que contribui para sua mística”.
“O que nós sabemos é que aquela energia foi afetada em Prykarpattyaoblenergo, com o malware contribuindo para a queda. Sabemos também que esse malware estava visando não apenas Prykarpattyaoblenergo, mas também pelo menos uma das empresas de transmissão da Ucrânia. As vítimas, na fase atual, parecem estar todas na Ucrânia e não fora dela”, acrescentou Wilhoit.
Os especialistas em segurança observaram que as usinas elétricas foram, de fato, infectadas por um malware pertencente ao BlackEnergy, um pacote que foi visto em 2007 e atualizado vários anos atrás para adicionar mais recursos. KillDisk, um recurso adicionado, pode inutilizar os sistemas afetados e obliterar componentes vitais de um sistema infectado. Foi relatado que ele possui funções que podem colocar Sistemas de Controles Industriais (Industrial Control Systems ou ICS) em risco.
“O KillDisk fez parte de uma nova campanha do BlackEnergy e muito provavelmente foi enviado para sua vítima desejada através de um email de phishing com uma macro habilitada em uma planilha Microsoft Excel anexada. Essa planilha, quando executada, inicia um estágio dois, que baixa os pacotes apropriados para persistir na máquina infectada”, notou Wilhoit.
Essa não foi a primeira vez que um malware BlackEnergy foi ligado a um ataque na Ucrânia. Em 2014, seu módulo KillDisk causou um dano permanente em empresas de mídia, especialmente em seu vídeo e outros conteúdos, relatado por sua Equipe de Resposta a Emergências de Computação. No mesmo ano, a equipe Sandworm por trás do BlackEnergy visou membros da Organização do Tratado do Atlântico Norte (OTAN), governos da Ucrânia e Polônia e vários setores na Europa. Maiores investigações da equipe de pesquisa de ameaças da Trend Micro revelaram que o grupo tem visado vítimas que utilizam SCADA.
Dadas as evidências disponíveis coletadas durante o último ano, os pesquisadores estão cautelosos em chegar a conclusões precipitadas de que o ataque que causou o apagão ucraniano está de fato conectado ao grupo Sandworm. Até o momento, uma comissão especial já foi estabelecida e as análises e investigações em andamento ainda têm que dar uma resposta definitiva sobre o que provocou esse tipo de incidente – que tem sido assunto de alertas de especialistas em segurança há muito tempo.
Wilhoit disse ainda, “nós sabemos se esse malware foi o único responsável? Não. Sabemos se há outras amostras de malware que podem ser atribuídas a esse incidente? Ainda não. Sabemos se os agressores são do grupo Sandworm? Não. Porém, meu palpite é que essa não vai ser a última vez que veremos malware contribuindo para o incidente Prykarpattyaoblenergo. Eu acredito que iremos ver mais amostras nos próximos dias acerca desse incidente, provavelmente com módulos adicionais do BlackEnergy ou ferramentas de estágio dois.”
Wilhoit, que divulgou um estudo que detalhava a insegurança dos dispositivos SCADA, acrescentou, “até que protocolos de segurança básicos sejam implementados dentro dos ambientes SCADA, receio que esse tipo de coisas se tornará mais predominante.”