Em dezembro de 2015, cerca de metade das casas da região de Ivano-Frankivsk, na Ucrânia, ficaram sem luz por algumas horas. Segundo relatórios, a causa da queda de energia de 6 horas foi um ciberataque que utilizou um malware. O mais interessante é que o caso não foi um incidente isolado, pois descobriu-se que outras firmas elétricas na Ucrânia também foram alvos.
Investigações subsequentes levaram à descoberta de um malware que deve ter causado o apagão. Baseado no relatório da SANS, “o malware é um arquivo executável do Windows 32-bit e é modular por natureza, indicando que o módulo faz parte de um malware mais complexo”. O malware, chamado de “BlackEnergy“, parece ter infectado os sistemas das usinas depois de um ataque spear phishing bem-sucedido.
Eis o que sabemos sobre o BlackEnergy:
O que é o BlackEnergy?
Identificado há vários anos, o BlackEnergy é um malware cavalo de Troia projetado para lançar ataques distribuídos de negação de serviço (DDoS), baixar spam personalizados e plugins bancários de roubo de informações.
O que ele faz?
O malware BlackEnergy era famoso por ser usado para distribuir KillDisk, um recurso que pode inutilizar sistemas, podendo eliminar componentes críticos no sistema infectado. Foi relatado que ele possuía funções notáveis que podiam colocar Sistemas de Controle Industrial (ICS) em risco. Um cenário de ataque envolve um alvo recebendo um email com um anexo malicioso. O agressor falsifica o endereço do remetente para parecer que o email está vindo do Rada (o parlamento ucraniano). Assim que o alvo abre o anexo, é solicitado a executar a macro no documento.
Quem são seus alvos?
O malware BlackEnergy parece ter visado uma usina de energia ucraniana, a Prykarpattya Oblenergo, e outras empresas distribuidoras de energia na Ucrânia. O BlackEnergy também pode ter sido usado para visar outras instalações.
Quem está por trás dos ataques BlackEnergy?
O ataque da Ucrânia foi atribuído ao Sandworm, um grupo de espionagem cibernética russo que têm assediado oficiais ucranianos e seus aliados desde 2007. O grupo também é conhecido por ter usado malware visando sistemas centrados no SCADA, em outubro de 2014.
Comissões especiais já foram estabelecidas e espera-se que as investigações em andamento determinem a origem e os motivos dos que estão por trás dos ataques BlackEnergy.