Ao examinarmos o calendário de junho e buscarmos datas relevantes para o setor de cibersegurança, é impossível ignorar dois eventos que marcaram um antes e um depois, confirmando uma tendência que persiste até hoje.
Em 17 de junho de 2010, com o Stuxnet, e em 12 de junho de 2017, com o Industroyer, as infraestruturas críticas foram expostas à capacidade destrutiva do cibercrime. Sim, os sistemas industriais estavam se tornando alvos de agentes mal-intencionados. Nada melhor do que aproveitar o mês de junho para analisar em detalhes esses ataques históricos e como essa tendência evoluiu.
Stuxnet: O Ataque Cibernético Mais Sofisticado da História
Em 17 de junho de 2010, foi descoberto o worm Stuxnet, considerado por especialistas globais como o ciberataque mais sofisticado da história.
Foi o primeiro malware a alvejar sistemas industriais e também o pioneiro a incluir um rootkit contra controladores lógicos programáveis (uma técnica discreta e furtiva que falsifica informações para se esconder).
Mas qual era o objetivo do Stuxnet? Realizar uma operação contra o programa nuclear iraniano. Graças à técnica de rootkit, ele conseguiu camuflar sua interferência na velocidade de rotação do motor dos sistemas de monitoramento. Dessa forma, desacelerou o processo de enriquecimento de urânio em Natanz (instalação nuclear iraniana), atrasando a criação de armas nucleares.
Para alcançar seu objetivo, o Stuxnet dividiu o ataque em diferentes estágios:
- No primeiro estágio, o worm se espalhou pelas redes, explorando quatro vulnerabilidades desconhecidas e liberando uma carga útil capaz de reprogramar dispositivos. O resultado foi a danificação das centrífugas usadas no enriquecimento de urânio devido a mudanças bruscas e sensíveis na velocidade.
- Outra etapa envolveu a tentativa de danificar os rotores por meio de sobrepressão, sabendo que as centrífugas a gás são muito sensíveis à pressão do processo. Assim, os invasores, por meio de uma vulnerabilidade e da carga útil, assumiram o controle total e manipularam os valores do processo dentro do controlador, impactando negativamente a produção de urânio enriquecido.
Embora a disseminação do Stuxnet tenha afetado quase 50.000 sistemas críticos, ele entrou para a história como o malware que conseguiu danificar e atrasar significativamente o desenvolvimento do programa nuclear do Irã. Foi o primeiro a atingir uma infraestrutura essencial e o mais complexo de seu tipo.
Industroyer: Uma Ameaça Adaptável aos Sistemas Industriais
Sete anos depois, os sistemas industriais estavam novamente no centro das atenções. Em 12 de junho de 2017, a ESET publicou um relatório sobre o Industroyer, a maior ameaça aos sistemas de controle industrial desde o Stuxnet. Ele pode ter sido responsável por deixar grande parte da capital ucraniana, Kiev, sem energia por uma hora em dezembro de 2016.
O Industroyer surgiu como uma ameaça perigosa devido à sua capacidade de controlar os disjuntores em uma subestação elétrica.
Como ele conseguiu isso? Utilizando protocolos de comunicação industrial implementados globalmente em:
- Infraestruturas de fornecimento de energia.
- Sistemas de controle de transporte.
- Outros sistemas de infraestrutura crítica, como água e gás.
Dessa forma, e com alguns ajustes, ele conseguiu ampliar seu espectro de ataque.
O aspecto paradoxal e perigoso do Industroyer é que ele literalmente usava os protocolos da maneira como foram projetados. Esses protocolos foram criados décadas atrás, quando a intenção era que os sistemas industriais fossem isolados do mundo externo. Em outras palavras, os invasores não precisaram encontrar vulnerabilidades para explorar; eles apenas precisavam ensinar o malware a "falar" esses protocolos.
Vale mencionar que o Industroyer era diferente de outros malwares que atacam infraestruturas, pois usava quatro componentes maliciosos projetados para obter controle direto de interruptores e disjuntores em uma subestação de distribuição de energia. Além disso, possuía funcionalidade para permanecer "fora do radar" e apagar todos os vestígios de si mesmo após a conclusão de seu trabalho, dificultando a detecção e investigação.
Ciberataques a Infraestruturas Críticas: Uma Tendência Contínua
O surgimento do Stuxnet e o surto subsequente do Industroyer apenas deram início a uma tendência que continua até hoje e se tornou uma constante ao longo dos anos.
Um exemplo recente de ataque a infraestruturas críticas ocorreu em 8 de abril de 2022, quando o CERT ucraniano precisou responder a um ciberincidente que afetou um fornecedor de energia, atacado por um malware. A ameaça? Uma nova versão do Industroyer, apelidada de Industroyer 2, que compartilha sem semelhanças de código com a primeira versão.
O Industroyer 2 buscou implantar wipers adicionais para ampliar o impacto da interrupção, além de remover seus rastros para dificultar a investigação do incidente.
E qual é o cenário para a nossa região? Nem os dados de telemetria da ESET nem o trabalho de pesquisa identificaram ataques a infraestruturas críticas com o objetivo principal de desestabilização na América Latina. No entanto, isso não significa que as organizações que executam serviços críticos não sejam alvos de ciberataques ou que não tenham sofrido um incidente de segurança cibernética.
Inclusive, a equipe de Pesquisa de Laboratório da ESET dedicou um episódio especial do podcast às tendências de 2023, destacando o ataque a infraestruturas críticas. Como podemos ver, este é um tema que, longe de sair de moda, é tão real quanto preocupante.