Detalhes de uma invasão sem precedentes da rede elétrica ucraniana

Na quarta-feira, 23 de dezembro de 2015 às 15:30, os moradores de Ivano-Frankivsk, no oeste da Ucrânia, estavam se preparando para o final do dia útil e estavam indo para casa pelas ruas frias de inverno. No centro de controle da empresa Prikarpatyeoblenergo , que distribui eletricidade na região, os despachantes quase concluíram seu turno. Mas quando um deles arrumou o papel na mesa antes de concluir o trabalho, o cursor na tela do computador se deslocou.

O despachante viu o cursor mover-se intencionalmente para os botões de controle dos disjuntores da subestação regional, depois pressionou o botão para abrir a janela com os interruptores para deixar a subestação offline. Uma caixa de diálogo apareceu na tela com uma solicitação para confirmar a operação, e o operador ficou aturdido quando o cursor deslizou nessa janela e pressionou o botão de confirmação. Ele sabia que em algum lugar na área fora da cidade, milhares de casas haviam acabado de perder a luz.

O despachante pegou o mouse e tentou desesperadamente recuperar o controle, mas o cursor não respondeu às suas manipulações. Ele se moveu independentemente na direção de outro comutador, e a sessão de autorização atual no painel de controle interrompeu inesperadamente. O despachante tentou se conectar às pressas novamente, mas sua senha não funcionava mais: os atacantes a alteraram. Ele só podia olhar impotente para a tela, onde o desconhecido desligava os interruptores da subestação, um após o outro, interrompendo o trabalho de cerca de 30 deles. Eles não pararam por aí. Além de Prikarpatyeoblenergo, mais duas empresas de energia foram atacadas ao mesmo tempo, de modo que o número total de subestações com deficiência era duas vezes maior e 230.000 moradores ficaram sem eletricidade. E como se isso não bastasse, os hackers ainda desligaram as fontes de energia de backup,privar os despachantes de luz em dois dos três centros de controle.

Plano brilhante

Os hackers que invadiram as empresas de energia da Ucrânia - o primeiro caso confirmado de falta de energia no mundo - não eram alguns oportunistas testando suas habilidades. Como resultado de uma investigação minuciosa do incidente, novos detalhes foram revelados: fica claro que existem estrategistas qualificados e secretos por trás do ataque, que planejaram cuidadosamente o ataque por muitos meses, primeiro realizando o reconhecimento, examinando as redes da vítima, buscando as credenciais do controlador e, em seguida, lançando um ataque síncrono em três centro de controle.

"Foi um ataque brilhante", disse Robert M. Lee, que ajudou na investigação, ex-oficial de operações cibernéticas da Força Aérea dos EUA e co-fundador da Dragos Security, empresa especializada em proteção de infraestrutura crítica. - Falando sobre a sofisticação do hacking, muitas pessoas sempre se concentram no malware que foi usado. Mas, para mim, a sofisticação do ataque está no nível de logística e planejamento da operação ... e no que acontece durante ela. E houve um trabalho realmente requintado. ”

A Ucrânia indicou imediatamente a Rússia como o iniciador do ataque. Robert Lee evitou chamar um país, mas disse que há uma distinção clara entre os vários estágios da operação, o que implica a participação de hackers de diferentes níveis em diferentes estágios. Portanto, é provável que o ataque tenha sido realizado com a cooperação de vários participantes completamente diferentes - talvez cibercriminosos e agentes em escala estadual.

"Deve ser uma equipe bem-financiada e bem treinada ... Mas não é necessariamente no nível estadual", disse ele. Talvez a princípio, os cibercriminosos de baixo nível tenham obtido acesso inicial à rede e depois transferido o controle para hackers federais mais experientes.

De uma maneira ou de outra, mas um ataque bem-sucedido à rede de energia levanta a questão da segurança de tais redes nos Estados Unidos, dizem os especialistas. Surpreendentemente, os sistemas de gerenciamento ucraniano estão melhor protegidos contra esse ataque do que os americanos, porque são bem separados por firewalls das redes comerciais. Mas mesmo essa proteção não foi suficiente, porque os funcionários se conectam remotamente à rede SCADA (Controle de Supervisão e Aquisição de Dados), de onde os subsistemas elétricos são controlados. Ao mesmo tempo, falta a autenticação de dois fatores, para que, conhecendo as credenciais do expedidor, os atacantes possam assumir o controle dos sistemas de controle da subestação elétrica.

O fornecimento de energia nas cidades ucranianas foi restaurado em uma a seis horas. Mas, mesmo mais de dois meses após o ataque, os centros de controle não retornaram à operação normal, informou um relatório recente dos EUA . Especialistas em segurança de computadores da Ucrânia e dos Estados Unidos dizem que os hackers substituíram o firmware de equipamentos críticos em 16 subestações e agora não respondem aos comandos do centro. A eletricidade é fornecida, mas os interruptores devem ser controlados no modo manual.

Ao atacar a rede americana, tudo pode acabar com mais tristeza, porque muitas subestações americanas não possuem sistemas de controle manual redundantes, ou seja, no caso de tal sabotagem, será muito mais difícil restaurar o suprimento de energia.

Linha do tempo do ataque

Várias agências americanas ajudaram a Ucrânia a investigar o ataque, incluindo o FBI e o Departamento de Segurança Interna dos EUA. Os consultores incluíram os especialistas Robert Lee e Michael J. Assante, que ministram cursos de segurança de computadores no Instituto SANS de Washington . Eles ficaram agradavelmente surpresos com o fato de as empresas de energia ucranianas terem um sistema avançado de firewalls e logs de sistema que ajudaram a recriar a cronologia dos eventos - isso geralmente não é visto ao investigar ataques a empresas comerciais, e menos ainda ao atacar infraestruturas críticas.

De acordo com Lee e o especialista ucraniano que participou da investigação, os preparativos para o ataque começaram na primavera passada com uma campanha de phishing destinada à equipe de TI de empresas de energia e administradores de sistemas. Existem 24 regiões na Ucrânia, 11-27 distritos em cada região. Cada região tem sua própria empresa que gerencia a distribuição de eletricidade na rede. Os emails de phishing com um documento do Word no anexo foram enviados aos funcionários de três dessas empresas. Quando você inicia o documento, uma janela é exibida solicitando que você habilite macros. Se o usuário fez isso, um programa chamado BlackEnergy3 foi instalado no computador com um backdoor para acesso remoto. Vulnerabilidades no Word e a instalação de Trojans por meio de macros é uma técnica antiga que recentemente se tornou popular novamente .

Um ataque de phishing apenas permitia que invasores acessassem a rede corporativa. Para entrar no sistema SCADA, era necessário romper o firewall. Por vários meses, hackers realizaram inteligência. Eles obtiveram acesso aos controladores de domínio do Windows, que controlam as interações do domínio do usuário, incluindo processos de login do usuário, autenticação e pesquisas de diretório. A partir daí, eles obtiveram as credenciais dos funcionários, incluindo senhas dos serviços VPN que foram usados ​​pelos funcionários remotamente para acessar o sistema SCADA. Tendo penetrado o SCADA, os hackers começaram a se preparar lentamente para um ataque.

Primeiro, eles mudaram a configuração das fontes de alimentação ininterrupta (UPS), que forneciam energia de reserva em dois centros de controle, a fim de apagar a luz ao mesmo tempo para os residentes do país e os controladores da empresa. Essa é uma ação flagrante e agressiva que pode ser interpretada como um “grande foda-se” para as empresas de energia, disse Lee.

Cada empresa possui sua própria rede de distribuição de eletricidade e, na fase de inteligência, os hackers examinaram cuidadosamente essas redes. Em seguida, eles escreveram as versões originais de firmware para conversores serial-Ethernet em subestações. Esses dispositivos transmitem comandos do centro de controle para a subestação. A falha do conversor impossibilita o controle remoto da subestação. “Atualização maliciosa de firmware para uma operação específica nuncanão usado antes, comenta Robert Lee. - Em termos de ataque, isso é muito legal. Quero dizer, um ótimo trabalho. "

A propósito, os mesmos modelos de conversor serial-Ethernet também são usados ​​em subestações americanas.

Munidos de firmware malicioso, os hackers estavam prontos para iniciar um ataque.

Por volta das 15h30 do dia 23 de dezembro, eles entraram no sistema SCADA usando senhas de outras pessoas via VPN e enviaram comandos para desativar o no-break pré-configurado. Então eles começaram a abrir o acesso às subestações e desligá-las uma a uma. Pouco antes disso, um ataque telefônico TDoS foi organizado em call centers de empresas de energia, para que os consumidores não pudessem passar e informar os despachantes prematuramente sobre um blecaute. Robert Lee observa que o telefone DDoS mostra um alto nível de complexidade e planejamento para toda a operação. "O que os hackers sofisticados fazem é fazer esforços combinados, mesmo levando em consideração cenários improváveis, para garantir que eles eliminem todos os problemas possíveis", diz ele.

A realização de TDoS deu aos atacantes um pouco mais de tempo. Até os despachantes perceberem atividades estranhas nos computadores, algumas subestações já estarão desativadas. Especialistas dizem que, no caso de um ataque russo de motivação política contra a Ucrânia, o DDoS por telefone executa outra tarefa: minar a confiança dos cidadãos nas empresas de energia ucranianas e no governo.

Depois de desligar a energia nas subestações, os hackers substituíram o firmware nos conversores serial-Ethernet instalados lá. Após a conclusão da operação, eles lançaram um malware chamado KillDisk para apagar arquivos e MBR em computadores nos centros de controle.

As bombas lógicas instaladas iniciaram o KillDisk em um cronômetro 90 minutos após o início do ataque, ou seja, por volta das 17h. Foi nessa época que Prikarpatyeoblenergo publicou uma mensagem em seu site com informações sobre o que os cidadãos já sabiam: a eletricidade em algumas áreas foi cortada e uma investigação está em andamento sobre as causas do fracasso.

Meia hora depois, quando o KillDisk concluiu seus negócios sujos, Prikarpatyeoblenergo publicou outra mensagem: um ataque de hacker foi nomeado o motivo da falha.

...

Quem está por trás da organização do apagão na Ucrânia é o primeiro ataque desse tipo, que cria um precedente sinistro para a segurança das redes elétricas em todo o mundo. O despachante Prikarpatyeoblenergo pode não saber o que ameaça a oscilação do cursor do mouse na tela naquele dia. Mas agora todos os responsáveis ​​pelo fornecimento de energia no mundo receberam um aviso. Este ataque foi relativamente curto e suave. O seguinte pode não ser o caso.

Source: https://habr.com/ru/post/pt391439/