0
0
A equipe de resposta a emergências de computador da Ucrânia (CERT-UA), em colaboração com pesquisadores da ESET e da Microsoft, na semana passada frustrou um ataque cibernético a uma empresa de energia que teria desconectado várias subestações de alta tensão de uma seção da rede elétrica do país em 8 de abril.
O ataque, do infame grupo Sandworm da Rússia, envolveu o uso de uma nova versão mais personalizada da Industroyer, uma ferramenta de malware que o ator de ameaças usou pela primeira vez em dezembro de 2016 para causar uma queda temporária de energia na capital da Ucrânia, Kyiv. Além do malware compatível com ICS, o ataque mais recente também contou com ferramentas destrutivas de limpeza de disco para os ambientes do sistema operacional Windows, Linux e Solaris da empresa de energia que foram projetados para complicar os esforços de recuperação.
O ataque cibernético russo, no meio da guerra de moagem do país na Ucrânia, despertou preocupação com ataques semelhantes a outras empresas de energia na Ucrânia e fora do país. Isso levou o CERT-UA a distribuir indicadores de compromisso e outros artefatos de ataque para empresas de energia na Ucrânia e para o que descreveu como um “número limitado” de parceiros internacionais.
Andrii Bezverkhyi, CEO da SOC Prime, que atualmente está na Ucrânia como consultor da CERT-UA, diz que as empresas de energia em todos os lugares precisam ver a mais recente operação cibernética sandworm como um sinal de escalada e estar em alerta máximo.
“Eles têm capacidade de atacar sincronicamente em toda [indústrias ou geografias]”, diz Bezverkhyi. Ele aconselha que as empresas de energia em todos os lugares aprimorem as táticas, técnicas e procedimentos da Sandworm para que possam melhor detectar e proteger contra o ator de ameaças.
Um Perigoso e Persistente Resistente
Sandworm é um ator de ameaça persistente avançado ligado a um grupo de operações de tecnologia especial na Direção de Inteligência Principal do Estado-Maior russo (GRU). O grupo tem sido associado a vários ataques de alto perfil e destrutivos ao longo dos anos – mais notavelmente no sistema elétrico ucraniano. Em 2015, Sandworm usou malware chamado BlackEnergy em um ataque que derrubou uma faixa da rede elétrica da Ucrânia por várias horas. Em 2016, ele usou a Industroyer para efeito semelhante na Ucrânia e, em seguida, seguiu o ano seguinte com ataques destrutivos de limpeza de dados usando a ferramenta de malware NotPetya. Acredita-se também que o grupo Sandworm esteja por trás de ataques de negação de serviço no país da Geórgia, bem como uma campanha que teve como alvo os Jogos Olímpicos de Inverno de 2018.
Industroyer, a arma escolhida pelo ator de ameaça no ataque mais recente, é um malware feito especificamente para interromper equipamentos associados a redes elétricas. Pesquisas anteriores da ESET e dragos mostraram que o malware foi projetado para permitir que os atores de ameaças obtenham controle remoto de switches e disjuntores em subestações de alta tensão e os manipulem de forma a desencadear interrupções. Por exemplo, a versão do malware usado no ataque da Ucrânia em 2016 poderia ser usada para forçar os disjuntores a permanecerem abertos, resultando na desenergização da subestação.
O malware também permitiu que os atacantes em 2016 essencialmente desconectassem uma subestação do resto da grade, toggling continuamente disjuntores entre “ligado” e “desligado” até que as medidas de proteção entrassem em “ilha” fora da subestação — e desencadeassem um apagão naquela seção da grade.
Uma característica fundamental da Industroyer é que ela não explora nenhuma vulnerabilidade, nem se limita a atacar a tecnologia de um único fornecedor. Em vez disso, o malware — como usado nos ataques de 2016 — emprega diferentes protocolos de controle industrial para se comunicar diretamente com sistemas em ambientes de controle industrial.
Jean-Ian Boutin, diretor de pesquisa de ameaças da ESET, diz que a nova versão do malware, Industroyer2, usa apenas um protocolo para se comunicar com equipamentos industriais. “A versão original era modular e usava quatro protocolos industriais”, diz ele. A razão pela qual a nova versão usa apenas uma configuração codificada é provável porque é mais fácil de implantar. “O malware usa o protocolo industrial IEC-104, que se comunica diretamente com equipamentos. Ele pode trocar disjuntores em relés de proteção [e] pode levar a um apagão.”
A sofisticação do malware sugere que ele foi testado em um ambiente industrial como o que foi alvo, com equipamentos e servidores semelhantes, diz ele.
O CERT-UA disse que o objetivo dos atacantes parece ter sido desativar não apenas subestações elétricas de alta tensão, mas também outros elementos de infraestrutura usando diferentes ferramentas de malware projetadas para interromper os servidores Windows, Linux e Solaris da empresa de energia. Entre as ferramentas que o Sandworm implantou na rede da empresa de energia estava um limpador de discos Windows chamado CaddyWiper e ferramentas similares de limpeza de disco apelidadas de Orcshred, Soloshred e Awfulshred para sistemas Linux e Solaris.
“Os atacantes queriam limpar os dados desses servidores, o que dificultaria a recuperação rapidamente após um ataque”, diz Boutin.
Não está claro como a Sandworm obteve acesso inicial à rede da empresa de energia ou como ela pode ter se mudado da rede corporativa para os sistemas ICS. De acordo com o CERT-UA, os dados sugerem pelo menos duas “ondas de ataques” na empresa — uma provavelmente em fevereiro e outra em abril. “A desconexão das subestações elétricas e o descomissionamento da infraestrutura da empresa estavam marcados para a noite de sexta-feira, 8 de abril”, disse.
Recursos de maturação
Bezverkhyi diz que o ataque mostra que o ator de ameaças russo amadureceu suas capacidades a um ponto em que pode causar danos às redes de energia em vários níveis: equipamentos ICS, dispositivos de rede e estações de trabalho operacionais e servidores.
“Se um ataque for totalmente bem sucedido, a recuperação das operações levaria dias, se não semanas”, diz ele. Sandworm é conhecido por usar malware altamente autônomo com árvores de decisão multivetorial, diz Bezverkhyi. Neste ataque, os binários foram compilados por alvo e continham um conjunto único de instruções por alvo, aparentemente para aumentar a probabilidade do sucesso do ataque.
Embora o vetor de entrada inicial ainda não esteja claro, os ataques passados de Sandworm envolveram o uso de contas válidas e a exploração de serviços remotos para acesso inicial, diz Bezverkhyi. Sandworm também demonstrou uma capacidade de ter acesso às últimas façanhas, diz ele, apontando para o uso do grupo da exploração EternalBlue desenvolvida pela NSA durante sua campanha NotPetya.
Além do acesso inicial, o Sandworm depende fortemente de técnicas de vida fora da terra, como usar o agendador de tarefas no Windows ou o cron job scheduler no Unix para implantar malware e aumentar privilégios. “Todas as técnicas, além da exploração, são bastante conhecidas e observadas na natureza desde 2019”, diz.
Luke McNamara, analista principal da Mandiant, aponta que um TTP notável nos ataques mais recentes é a utilização relatada de Objetos de Política de Grupo (GPO) para propagação dentro das redes de vítimas em vários casos. “Isso destaca a importância de endurecer as defesas em torno do Active Directory”, diz ele.
Os atores de ameaças russos certamente demonstraram a capacidade de interromper a rede de energia da Ucrânia no passado, observa McNamara. Ele diz: “A complexidade adicional agora é que tudo isso está ocorrendo durante a invasão militar da Rússia na Ucrânia, quando mesmo interrupções de curto prazo da infraestrutura energética poderiam ter efeitos em cascata no espaço de batalha e na população.”
FONTE: DARK READING