Em 23 de dezembro de 2015, um dia normal de trabalho no inverno rigoroso, às 16:00 hs. um grande número de usuários e indústrias não tinha mais o fornecimento de eletricidade. A situação começou a se recuperar a partir das 19h.m. Sabemos que faz muito tempo, especialmente para os habitantes e industriais. Não só pelo número de horas, mas também pelo imenso número de usuários e uma grande região afetada. O dano econômico foi enorme. No entanto, do ponto de vista do tempo de resposta, e devido à magnitude do incidente, a equipe de resposta respondeu rapidamente.
A maioria das empresas de energia em todas as partes do mundo não poderia responder da mesma forma em tão pouco tempo. Quando a maioria teria ficado totalmente surpresa, a equipe de resposta sabia como lidar com a situação de forma eficaz. As notícias do incidente começaram a se espalhar pela mídia mundial. Antes do final do ano, já era o incidente de cibersegurança industrial mais ressonante do ano. As agências de pesquisa de Cibersegurança Industrial ficaram surpresas e, em simultâneo, interessadas em colaborar com a pesquisa. O que aconteceu? E como isso aconteceu? Enquanto a análise e a perícia continuam, até hoje, várias questões já são muito claras.
1. O ‘malware’ BlackEnergy infectou vários computadores na rede de TI. BlackEnergy (também conhecido como DarkEnergy) é um ‘malware’ que existe desde 2008 e cada um de seus módulos tem sofrido mutação ao longo do tempo. Neste incidente, a terceira variante do BlackEnergy foi usada como vetor de ataque e deu aos atacantes acessos aos computadores das empresas de distribuição de energia, e a capacidade de se comunicar remotamente com eles. Não foi detectado que esse ‘malware’ tenha chegado às estações operacionais dos Sistemas de Controle. No entanto, é certo que os intrusos conseguiram obter e roubar informações do Sistema Elétrico Interconectado.
Um dos módulos da BlackEnergy, conhecido como KillDisk, foi usado para negar acesso a computadores corporativos como uma das várias medidas de distração e atraso no mesmo dia do incidente. Relatórios anteriores, eles revelaram, que no mês de março tentativas de entrar nas companhias elétricas com a segunda versão da BlackEnergy teriam sido detectadas. No mês de julho, o alerta desses ataques teria sido secado. Deveria ter sido tomada como um aviso e não como uma ação que já estava controlada.
2. Um ataque afetou em simultâneo, o sistema de telefonia de várias das empresas. Outro ataque simultâneo afetou o sistema de comunicação e telefonia de várias empresas de energia, possivelmente uma negação de serviço (DoS), impediu que o help desk das empresas de transporte de energia recebesse as reclamações dos usuários afetados. Esta situação já está dando evidências claras de que o incidente foi absolutamente planejado. As quedas de energia começaram há algum tempo antes que as empresas se conscientizassem do que realmente estava acontecendo.
Um dos provedores chegou a colocar mensagens em seus sites informando aos seus visitantes que a empresa estava tendo problemas com o fornecimento de energia em vários locais, mas não poderia precisar de uma hora de restauração. A situação era crítica e eles não sabiam o que estava acontecendo. Os golpes vieram de todos os lados.
3. Vários sistemas de controle da subestação foram comprometidos. Quando as equipes de resposta foram restabelecer os sistemas de controle de cada uma das subseções de energia, perceberam que os Sistemas de Controle de Campo, PLCs e RTUs também haviam sido comprometidos. Posteriormente, verificou-se que o firmware dos dispositivos estava corrompido ou modificado, e suas configurações haviam sido alteradas. Os sistemas de controle de 16 subestações foram encontrados nessas condições. Outra evidência clara de que o incidente ocorreu não foi coincidência. As empresas de distribuição de energia elétrica do oeste da Ucrânia foram vítimas de um ataque intencional, com alta motivação e conhecimento técnico dos Sistemas de Controle.
4. As Estações Operacionais de alguns Sistemas SCADA foram acessadas remotamente. Um operador, minutos antes de fazer sua mudança de turno, contou como de repente um fantasma assumiu o controle de sua estação de trabalho, e começou a agir nas subestações. Em apenas alguns segundos ele testemunhou como o suposto fantasma deixou um grande número de usuários e indústrias sem energia. Esse fantasma conseguiu contornar os processos de verificação e confirmação das ações do operador. O Operador não tinha tempo ou possibilidade de fazer nada para impedi-lo. Não foi um fantasma! O acesso remoto através de links VPN foi violado.
Eles estavam operando o SCADA do lado de fora e os Piratas informáticos estavam no controle do sistema. Os operados não podiam mais observar o que estava acontecendo. Suas chaves de acesso não funcionaram. As mesmas medidas de segurança do próprio sistema impediram que os Operadores pudessem acessar. Um operador do Sistema de Controle localizado em Prykarpattyaoblenergo, enquanto ele estava realizando sua papelada para terminar seu turno de trabalho, de repente observou como o cursor de sua Estação de Operação do Sistema, de repente mudou para um canto da tela. Rapidamente o cursor começou a realizar uma série de ações na tela e manobras nas subestações.
O operador do Fantasma selecionou uma subestação, foi diretamente até ela sem perder tempo, sabendo exatamente onde deveria coçar, selecionou a subestação, deu a ordem para desligar. O Sistema SCADA possui uma sequência de confirmação, como é típico para sistemas SCADA do tipo Elétrico (Select Before Operate, e outros), deu a ordem para desligar, confirmou a sequência, como um especialista e assim por diante com as 30 subestações desse operador. Os diagramas de uma linha e diferentes telas não são fáceis de entender, e você deve ter um conhecimento das Redes Elétricas. O operador tentou parar esse processo, mas não conseguiu fazer nada. O pior já começara, mesmo antes deste incidente.
O número de usuários sofria as consequências da queda de energia antes mesmo do incidente com o operador. Isso não foi tudo. Ao mesmo tempo, incidentes semelhantes estavam acontecendo em outros centros de controle de outras empresas de energia. O número de sub-estações que estavam sendo colocadas fora de serviço estava se multiplicando rapidamente. Pouco mais de três meses após o incidente ocorreu e após conhecer apenas alguns dos resultados das investigações que eram conhecidas, através das diferentes agências de investigação, não há dúvida de que foi um Ataque Cibernético… Planejado, elaborado e executado com grande eficácia. Talvez os responsáveis pensem que o dano que causariam seria muito maior.
A resposta eficiente na Recuperação do Incidente pela equipe de Resposta fez com que as perdas não aumentavam. O que teria acontecido se o incidente continuasse durante toda a noite? Os responsáveis não eram oportunistas. Eles sabiam perfeitamente o que estavam fazendo e tinham isso absolutamente premeditado. Eram estratégicos, detalhistas e planejados há meses. Múltiplos ataques orquestrados com o sincronismo como uma coreografia autêntica. Quando a maioria das pessoas responsabiliza o ‘malware’, é claro que por trás deste incidente havia logística e motivação significativas. Diante desses fatos, o ‘malware’ pode ter sido uma distração para esconder os verdadeiros vetores do ataque.
Na verdade, nenhum ‘malware’ foi encontrado nos sistemas de controle ou nas Estações de Operação SCADA. As proteções instaladas nos sistemas para impedir a entrada da rede corporativa têm se mostrado eficazes. No entanto, o grupo ativista diante dessa situação não desistiu e procurou outras formas de entrar nos sistemas de controle. As diferentes perspectivas dos ataques. Quando alguns acreditam que todos esses danos foram causados por um pirata informático ou um grupo de piratas informáticos da IT Redes, sabemos que atingir o baixo nível de controle, isso não é possível.
Alterações no firmware e na configuração e programação dos Sistemas de Controle não são possíveis de fazer simplesmente acessando a Sala de Operação da Sala SCADA, como um dos operadores relacionados, ou através do BlackEnergy Malware encontrado nas redes de TI. Especialmente em uma SCADA Elétrica com redes de vários anos, onde acessar o firmware de dispositivos de campo, fazer modificações sem isso despertando suspeitas sem gerar eventos, não é possível.
Não há dúvida de que houve uma tarefa de inteligência, houve planejamento, e ainda mais, havia um conhecimento não só da Rede Elétrica da região, mas também da SCADA, PLCs, RTUs, comunicações e suas vulnerabilidades. Sabe-se também que a perda do sistema SCADA, em um sistema bem concebido, não gera a queda no fornecimento de energia. Para isso, devem ser alcançados PLCs e RTUs.