Na última terça-feira (12), a Ucrânia conseguiu impedir um ataque cibernético à rede de energia do país com a ajuda de pesquisadores da Microsoft e da empresa de cibersegurança ESET.
Durante a defensiva, a equipe descobriu uma nova variante do Industroyer, um malware utilizado pelo grupo Sandworm APT em 2016 para atacar a rede elétrica ucraniana. O malware identificado esta semana foi batizado de “Industroyer2”.
Segundo comunicado da Computer Emergency Response Team of Ukraine (CERT-UA), o ataque recente tinha como alvo “diversos elementos de infraestrutura”, como subestações elétricas de alta voltagem, computadores da instalação afetada, além de equipamentos de rede e de servidores que utilizavam o sistema operacional Linux.
A organização vítima do grupo hacker sofreu duas ondas de ataques, sendo que a estimativa é que o primeiro incidente tenha ocorrido antes do fim de fevereiro deste ano, de acordo com a CERT-UA.
A equipe explica que a desconexão das subestações elétricas e a desativação da infraestrutura da empresa estava agendada para a noite do dia 8 de abril. Felizmente, antes que o plano pudesse ser implementado, as medidas de cibersegurança foram capazes de prevenir o ataque.
Sandworm
Os pesquisadores da ESET afirmam que, durante a operação, foram identificadas várias outras famílias de malware destrutivos, como CaddyWiper, ORCSHRED, SOLOSHRED e AWFULSHRED.
Por enquanto, ainda não está claro como os hackers comprometeram a vítima inicial ou como eles conseguiram passar da rede de TI para a rede Industrial Control System (ICS).
De acordo com a análise da CERT-UA, o que se sabe é que os invasores foram capazes de se mover lateralmente entre diferentes segmentos de rede ao criarem cadeias de túneis SSH.
Basicamente, esses túneis SSH permitem que usuários encaminhem conexões para uma máquina remota utilizando um canal seguro a partir de uma porta no desktop do usuário.
O grupo Sandworm é suspeito de ser uma unidade militar cibernética e parte da agência de inteligência militar estrangeira do governo russo. Eles já foram acusados de causar blecautes que afetaram mais de 200 mil residências em diferentes regiões da Ucrânia.
A Rússia continua a negar o seu envolvimento nos ataques, mas os Estados Unidos e a União Europeia já acusaram o Sandworm de ser responsável pelos incidentes. Alguns indivíduos foram identificados por autoridades cibernéticas como potenciais suspeitos e estão na lista de procurados pelo FBI.
Reforço de cibersegurança
Segundo o governo ucraniano, os hackers tinham como alvo uma das maiores companhias de energia do país. Caso o ataque fosse bem-sucedido, o blecaute poderia afetar cerca de dois milhões de pessoas.
Desde o início da invasão russa, este representa o ciberataque mais grave já lançado contra a Ucrânia. Ainda assim, o incidente não foi totalmente inesperado,
Durante uma conferência na terça-feira, representantes do governo ucraniano afirmaram que já haviam sido alertados sobre possíveis ataques à rede de energia do país logo no início da invasão russa.
Desde então, as companhias do setor têm reforçado as medidas de cibersegurança. Ainda assim, os hackers conseguiram comprometer uma das empresas responsáveis por fornecer energia a dois milhões de habitantes.
Embora a Ucrânia e outros países estejam quase certos de que a Rússia está por trás do ataque cibernético recente – além de vários outros –, ainda não foram reunidas evidências suficientes para que seja feita uma acusação pública.
A Ucrânia já estava sendo alvo de inúmeros ciberataques antes da invasão russa. Porém, o número de tentativas de hackeamento dos seus sistemas triplicou após o início do conflito.
