Especialistas do setor vêm dizendo há anos que os hackers podem ter como alvo uma infraestrutura crítica, incluindo sistemas de transporte, controle industrial e energia. Mas com um recente ataque a uma rede de energia ucraniana, um grupo de hackers russos nos moveu do reino de "poder" para "lata". Aqui está tudo o que você precisa saber sobre o ataque.
O que aconteceu na Ucrânia?
Em 23 de dezembro, os apagões se espalharam pela região de Ivano-Frankivsk, na Ucrânia, deixando cerca de metade dos 1, 4 milhão de habitantes da região sem energia elétrica. Os detalhes do ataque ainda estão sendo trabalhados, mas parece que um grupo de hackers russos lançou um ataque coordenado de várias partes a vários centros regionais de distribuição de energia na região.
Além de atacar diretamente os centros de distribuição, os invasores também tinham como alvo os sistemas de telefonia, impedindo que os clientes reportassem as falhas de energia, e usaram medidas para dificultar a descoberta de falhas pelos técnicos.
De acordo com a ESET, os hackers usaram um malware como Vírus, Spyware, Malware, etc. Explicado: Entendendo ameaças on-line Vírus, Spyware, Malware, etc. Explicado: Entendendo ameaças on-line Quando você começa a pensar em todas as coisas que poderiam dar errado quando navega na Internet, a web começa a parecer um lugar assustador. Leia mais chamado BlackEnergy para infectar computadores na rede elétrica e outra ferramenta chamada KillDisk para desativá-los. KillDisk é muito destrutivo: ele pode limpar partes de um disco rígido infectado 5 Ferramentas para excluir permanentemente dados sensíveis do seu disco rígido [Windows] 5 Ferramentas para excluir permanentemente dados sensíveis do seu disco rígido [Windows] Em um artigo recente eu expliquei por que é impossível recuperar dados de um disco rígido após sobrescrevê-lo. Nesse post eu mencionei que simplesmente excluir arquivos ou formatar seu disco rígido normalmente ... Leia Mais, sobrescreva-os e torne-o significativamente mais difícil para restaurar os dados. Esta versão do KillDisk também foi customizada para visar especificamente sistemas industriais.
Também incluído no ataque foi um backdoor SSH seguro O que é SSH & Como é diferente do FTP [Tecnologia Explicada] O que é SSH e como é diferente do FTP [Tecnologia Explicada] Leia mais, permitindo que os hackers tenham acesso total aos sistemas infectados. Se o malware em si foi responsável pelo desligamento da rede ou os hackers usaram esse backdoor para acessar os controles não está imediatamente claro. Isso pode ser uma distinção importante, já que o malware usado no ataque pode ser a causa do desligamento ou simplesmente do ativador.
A BlackEnergy tem sido usada em vários ataques contra alvos ucranianos no ano passado, incluindo um ataque contra empresas de mídia ucranianas no período que antecedeu as eleições na Ucrânia. A Rússia e a Ucrânia estão envolvidas em uma guerra cibernética em andamento, com os dois lados lançando inúmeros ataques, desde espionagem cibernética e monitoramento de câmeras de vigilância a ataques DDoS. O que é um ataque DDoS? [MakeUseOf explica] O que é um ataque DDoS? [MakeUseOf Explains] O termo DDoS apita sempre que o ciberativismo eleva sua cabeça em massa. Esse tipo de ataque faz manchetes internacionais por vários motivos. Os problemas que iniciam esses ataques DDoS são geralmente controversos ou altamente ... Leia Mais e congelando fundos em contas do PayPal.
Como as empresas de energia foram infectadas?
ESET relata que o malware foi entregue através de macros infectadas em documentos do Microsoft Office Como se proteger do Microsoft Word Malware Como se proteger contra o Microsoft Word Malware Você sabia que seu computador pode estar infectado por documentos mal-intencionados do Microsoft Office ou pode ser enganado para ativar as configurações que eles precisam para infectar seu computador? Leia mais, um método que está recuperando alguma popularidade. Empregados das empresas de energia foram enviados e-mails que pareciam vir do parlamento ucraniano - uma prática chamada spear-phishing Como identificar um anexo de e-mail perigoso Como identificar um anexo de e-mail perigoso Os e-mails podem ser perigosos. A leitura do conteúdo de um email deve ser segura se você tiver os patches de segurança mais recentes, mas os anexos de email podem ser prejudiciais. Procure os sinais de aviso comuns. Leia mais - e os documentos anexados a esses e-mails incentivaram os usuários a executar as macros, infectando seus computadores.
O malware usado no ataque foi encontrado em computadores de várias empresas de energia no início do ano, indicando que essa invasão provavelmente foi planejada com muita antecedência, uma idéia corroborada pela complexidade do ataque em vários sistemas. É possível que a intenção original fosse desmaiar todo o país.
O ataque é uma reminiscência de um que foi usado contra os funcionários da OTAN e da Ucrânia em 2014; este tirou proveito de uma exploração de dia zero O que é uma vulnerabilidade de dia zero? [MakeUseOf explica] O que é uma vulnerabilidade de dia zero? [MakeUseOf explica] Leia mais no Microsoft Windows. O grupo usou essa façanha para espionar autoridades da OTAN e da Ucrânia, e a descoberta do hack foi a primeira vez que Sandworm foi notícia.
Quem - ou o que - é Sandworm?
Sandworm é o nome do grupo de hackers e o que eles querem. É fácil pensar em grupos de hackers como uma espécie de revolucionários românticos de bastidores. Mas quem são eles realmente? O que eles representam e que ataques eles realizaram no passado? Leia Mais amplamente pensado para estar por trás deste ataque. O malware BlackEnergy está fortemente ligado a esse grupo, que esconde referências ao clássico romance de ficção científica de Frank Herbert, Dune, em seu código (Sandworm é uma referência a uma criatura no romance, vista abaixo na capa de Heretics of Dune ).
Como seus alvos foram em grande parte oponentes da Rússia, tem havido alguma especulação sobre se eles podem ter o apoio do governo russo, o que torna esses ataques um assunto ainda mais sério. Naturalmente, atribuir culpa a esses ataques é muito complicado; no momento, não estamos totalmente certos de que o Sandworm está por trás dos ataques, muito menos do Kremlin.
No entanto, os laços potenciais com o governo russo tornam isso uma questão preocupante. Este é provavelmente o primeiro ataque bem-sucedido a uma rede elétrica, o que significa que a Rússia está levando adiante suas capacidades de guerra cibernética. Os EUA e Israel mostraram habilidades semelhantes com o worm Stuxnet Essas técnicas de espionagem eletrônica da NSA podem ser usadas contra você? Essas técnicas de espionagem eletrônica da NSA poderiam ser usadas contra você? Se a NSA puder rastreá-lo (e sabemos que pode), os cibercriminosos também poderão. Veja como as ferramentas feitas pelo governo serão usadas contra você mais tarde. Read More, que destruiu centrífugas nucleares no Irã, mas que visam especificamente uma rede elétrica com esse complexo ataque multifásico é uma história diferente.
Os Estados Unidos estão em risco?
O relacionamento historicamente rochoso dos EUA e da Rússia tem muita gente se perguntando se os EUA estão preparados para esse tipo de ataque, e a resposta geral do “não” é preocupante. É claro que, com alguns dos maiores especialistas em cibersegurança do mundo trabalhando para a NSA, temos algumas das melhores defesas, mas o fato é que esse é um ataque sem precedentes.
Além do óbvio domínio da guerra cibernética na Rússia, o fato de grande parte de nossa infra-estrutura crítica estar desatualizada, especialmente quando se trata de segurança cibernética, também é muito preocupante. Em 2014, Daniel Ross, CEO da Promisec, disse à Forbes que os sistemas críticos de infraestrutura estão em risco porque “a maioria deles executa versões muito antigas ou potencialmente não corrigidas do Windows, devido ao fato de que elas não são removidas com muita frequência. "
O Escritório de Prestação de Contas do Governo dos EUA também fez declarações semelhantes, com a infraestrutura cibernética crítica e os sistemas de informações federais fazendo sua lista de “alto risco” em 2015. Em resumo, sim, os EUA provavelmente estão em risco.
Sem um ataque cibernético devastador, parece improvável que os legisladores estejam dispostos a dedicar a enorme quantia de dinheiro necessária para defender adequadamente a infra-estrutura crítica dos EUA e os sistemas federais de informação contra ataques em larga escala como o perpetrado na Ucrânia. Só podemos esperar que este evento sirva de exemplo para os responsáveis pela defesa cibernética e os catalise para tomar medidas mais fortes sobre a segurança da infra-estrutura crítica.
Os Take-Aways
A Cyberwarfare está avançando rapidamente, e a capacidade de direcionar especificamente peças de infraestrutura crítica com um ataque multifásico e altamente planejado já foi claramente demonstrada. Não sabemos ao certo se a Rússia estava por trás disso, mas parece que uma gangue de hackers russos, possivelmente com o apoio do governo russo, foi o criador do ataque. E os EUA não estão preparados para se defender de tal ataque.
O que vem depois das redes de energia? Ataques em edifícios ou instalações específicas? Bases militares, talvez? Hospitais? Empreiteiros de defesa? Infelizmente, as possibilidades parecem quase ilimitadas, e tudo o que podemos fazer é esperar e ver. Como a Rússia, a Ucrânia e os EUA avançam pode muito bem ter efeitos significativos para a guerra cibernética mundial.
Esse ataque à rede elétrica da Ucrânia deixa você nervoso? Você acha que seu país está suficientemente preocupado com a segurança cibernética? Ou você acha que isso será um alerta ao redor do mundo? Compartilhe seus pensamentos abaixo!
Créditos da imagem: TUBS via Wikimedia Commons (editado), Menna via Shutterstock.com, Kodda via Shutterstock.com, .