O malware projetado para atingir sistemas de controle industrial como redes elétricas, fábricas, concessionárias de água e refinarias de petróleo representa uma espécie rara de maldade digital. Portanto, quando o governo dos Estados Unidos alertar sobre um código criado para atingir não apenas um desses setores, mas potencialmente todos eles, os proprietários de infraestrutura crítica em todo o mundo devem ficar atentos.
Na quarta-feira, o Departamento de Energia, a Agência de Segurança Cibernética e Infraestrutura, a NSA e o FBI divulgaram conjuntamente um comunicado sobre um novo conjunto de ferramentas de hacker potencialmente capaz de se intrometer com uma ampla gama de equipamentos de sistemas de controle industrial. Mais do que qualquer kit de ferramentas de hacking de sistema de controle industrial anterior, o malware contém uma série de componentes projetados para interromper ou controlar o funcionamento de dispositivos, incluindo controladores lógicos programáveis (CLPs) vendidos pela Schneider Electric e OMRON e projetados para servir como a interface entre os computadores tradicionais e os atuadores e sensores em ambientes industriais. Outro componente do malware é projetado para atingir servidores Open Platform Communications Unified Architecture (OPC UA) — os computadores que se comunicam com esses controladores.
“Esta é a ferramenta de ataque de sistema de controle industrial mais expansiva que alguém já documentou”, diz Sergio Caltagirone, vice-presidente de inteligência de ameaças da empresa de segurança cibernética Dragos, que contribuiu com pesquisas para o conselho e publicou seu próprio relatório sobre o malware. Pesquisadores da Mandiant, Palo Alto Networks, Microsoft e Schneider Electric também contribuíram para a consultoria. “É como um canivete suíço com um grande número de peças.”
Dragos diz que o malware tem a capacidade de sequestrar dispositivos de destino, interromper ou impedir que os operadores os acessem, bloquear permanentemente ou até usá-los como ponto de apoio para dar aos hackers acesso a outras partes de uma rede de sistema de controle industrial. Ele observa que, embora o kit de ferramentas, que Dragos chama de “Pipedream”, pareça ter como alvo especificamente os PLCs da Schneider Electric e da OMRON, ele o faz explorando o software subjacente nesses PLCs conhecidos como Codesys, que é usado muito mais amplamente em centenas de outros tipos de CLPs. Isso significa que o malware pode ser facilmente adaptado para funcionar em praticamente qualquer ambiente industrial. “Este conjunto de ferramentas é tão grande que é basicamente gratuito para todos”, diz Caltagirone. “Há o suficiente aqui para todos se preocuparem.”
O aviso da CISA refere-se a um “ator APT” sem nome que desenvolveu o kit de ferramentas de malware, usando o acrônimo comum APT para significar ameaça persistente avançada, um termo para grupos de hackers patrocinados pelo estado. Está longe de ser claro onde as agências governamentais encontraram o malware, ou de qual país os hackers o criaram – embora o momento do aviso siga os avisos do governo Biden sobre o governo russo fazer movimentos preparatórios para realizar ataques cibernéticos disruptivos em meio à invasão de Ucrânia.
Dragos também se recusou a comentar sobre a origem do malware. Mas Caltagirone diz que não parece ter sido realmente usado contra uma vítima – ou pelo menos, ainda não desencadeou efeitos físicos reais nos sistemas de controle industrial da vítima. “Temos alta confiança de que ainda não foi implantado para efeitos disruptivos ou destrutivos”, diz Caltagirone.
Embora a adaptabilidade do kit de ferramentas signifique que ele pode ser usado em praticamente qualquer ambiente industrial, da fabricação ao tratamento de água, Dragos aponta que o foco aparente nos PLCs da Schneider Electric e da OMRON sugere que os hackers podem tê-lo construído com rede elétrica e refinarias de petróleo— particularmente instalações de gás natural liquefeito – em mente, considerando o amplo uso da Schneider em concessionárias de energia e a ampla adoção da OMRON no setor de petróleo e gás. Caltagirone sugere que a capacidade de enviar comandos para servomotores nessas instalações petroquímicas por meio de PLCs da OMRON seria particularmente perigosa, com a capacidade de causar “destruição ou até perda de vidas”.
O aviso da CISA não aponta para nenhuma vulnerabilidade específica nos dispositivos ou software que o malware Pipedream tem como alvo, embora Caltagirone diga que explora várias vulnerabilidades de dia zero – falhas de software hackeáveis anteriormente não corrigidas – que ainda estão sendo corrigidas. Ele observa, no entanto, que mesmo corrigir essas vulnerabilidades não impedirá a maioria dos recursos do Pipedream, pois ele foi amplamente projetado para sequestrar a funcionalidade pretendida dos dispositivos de destino e enviar comandos legítimos nos protocolos que eles usam. O comunicado da CISA inclui uma lista de medidas que os operadores de infraestrutura devem tomar para proteger suas operações, desde a limitação das conexões de rede dos sistemas de controle industrial até a implementação de sistemas de monitoramento para sistemas ICS, em particular, que enviam alertas para comportamentos suspeitos.
Quando a WIRED entrou em contato com a Schneider Electric e a OMRON, um porta-voz da Schneider respondeu em um comunicado que a empresa colaborou estreitamente com o governo dos EUA e a empresa de segurança Mandiant e que juntos “identificaram e desenvolveram medidas de proteção para se defender” do recém-revelado kit de ferramentas de ataque. . “Este é um exemplo de colaboração bem-sucedida para impedir ameaças na infraestrutura crítica antes que elas ocorram e ressalta ainda mais como as parcerias público-privadas são fundamentais para detectar e combater proativamente as ameaças antes que possam ser implantadas”, acrescentou a empresa. A OMRON não respondeu imediatamente ao pedido de comentário da WIRED.
A descoberta do kit de ferramentas de malware Pipedream representa uma rara adição ao punhado de espécimes de malware encontrados na natureza que visam software de sistemas de controle industrial (ICS). O primeiro e ainda mais notório exemplo desse tipo de malware continua sendo o Stuxnet, o código criado pelos EUA e por Israel que foi descoberto em 2010 depois de ter sido usado para destruir centrífugas de enriquecimento nuclear no Irã. Mais recentemente, os hackers russos conhecidos como Sandworm, parte da agência de inteligência militar GRU do Kremlin, implantaram uma ferramenta chamada Industroyer ou Crash Override para desencadear um apagão na capital ucraniana de Kiev no final de 2016.
No ano seguinte, hackers ligados ao Kremlin infectaram os sistemas da refinaria de petróleo da Arábia Saudita Petro Rabigh com um malware conhecido como Triton ou Trisis, que foi projetado para atingir seus sistemas de segurança – com consequências físicas potencialmente catastróficas – mas, em vez disso, desencadeou dois desligamentos de as operações da usina. Então, na semana passada, os hackers Sandworm da Rússia foram detectados usando uma nova variante de seu código Industroyer para atingir uma concessionária de energia elétrica regional na Ucrânia, embora autoridades ucranianas digam que conseguiram detectar o ataque e evitar um apagão.
O aviso do Pipedream serve como uma nova entrada particularmente preocupante na galeria de malware de ICS nocivo, no entanto, dada a amplitude de sua funcionalidade. Mas sua revelação – aparentemente antes que pudesse ser usada para efeitos disruptivos – ocorre em meio a uma repressão maior do governo Biden a possíveis ameaças de hackers a sistemas críticos de infraestrutura, principalmente da Rússia. No mês passado, por exemplo, o Departamento de Justiça divulgou acusações contra dois grupos de hackers russos com histórico de atacar redes elétricas e sistemas petroquímicos. Uma acusação nomeou pela primeira vez um dos hackers supostamente responsáveis pelo ataque de malware Triton na Arábia Saudita e também acusou ele e seus cúmplices de atacar refinarias dos EUA. Uma segunda acusação nomeou três agentes da agência de inteligência russa FSB como membros de um notório grupo de hackers conhecido como Berserk Bear, responsável por anos de hackers em concessionárias de energia elétrica. E então, no início deste mês, o FBI tomou medidas para interromper um botnet de dispositivos de rede controlados por Sandworm, ainda os únicos hackers da história conhecidos por terem desencadeado apagões.
Mesmo que o governo tenha tomado medidas para denunciar e até mesmo desarmar esses hackers disruptivos, o Pipedream representa um poderoso kit de ferramentas de malware em mãos desconhecidas – e do qual os operadores de infraestrutura precisam tomar medidas para se proteger, diz Caltagirone. “Este não é um negócio pequeno”, diz ele. “É um perigo claro e presente para a segurança dos sistemas de controle industrial.”
O aviso do Pipedream serve como uma nova entrada particularmente preocupante na galeria de malware de ICS nocivo, no entanto, dada a amplitude de sua funcionalidade. Mas sua revelação – aparentemente antes que pudesse ser usada para efeitos disruptivos – ocorre em meio a uma repressão maior do governo Biden a possíveis ameaças de hackers a sistemas críticos de infraestrutura, principalmente da Rússia. No mês passado, por exemplo, o Departamento de Justiça divulgou acusações contra dois grupos de hackers russos com histórico de atacar redes elétricas e sistemas petroquímicos. Uma acusação nomeou pela primeira vez um dos hackers supostamente responsáveis pelo ataque de malware Triton na Arábia Saudita e também acusou ele e seus cúmplices de atacar refinarias dos EUA. Uma segunda acusação nomeou três agentes da agência de inteligência russa FSB como membros de um notório grupo de hackers conhecido como Berserk Bear, responsável por anos de hackers em concessionárias de energia elétrica. E então, no início deste mês, o FBI tomou medidas para interromper um botnet de dispositivos de rede controlados por Sandworm, ainda os únicos hackers da história conhecidos por terem desencadeado apagões.
Mesmo que o governo tenha tomado medidas para denunciar e até mesmo desarmar esses hackers disruptivos, o Pipedream representa um poderoso kit de ferramentas de malware em mãos desconhecidas – e do qual os operadores de infraestrutura precisam tomar medidas para se proteger, diz Caltagirone. “Este não é um negócio pequeno”, diz ele. “É um perigo claro e presente para a segurança dos sistemas de controle industrial.”
Fonte: WIRED
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
