O malware usado no ataque de 2016 foi chamado Industoyer One, e o malware semelhante, mas diferente, usado em 2022 foi chamado Industroyer Two. O Five Eyes, uma aliança de inteligência composta pela Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos, atribuiu ambos os ataques ao GRU, a agência de inteligência militar russa.
O primeiro ataque pode ser visto como um exemplo de intimidação e abuso de poder sem guerra, disse Cardenas, enquanto o segundo é um vislumbre da guerra na era moderna
“É um exemplo de guerra moderna, pois combina ataques físicos e cibernéticos”, disse Cardenas. “Não é um evento isolado, esses eventos no mundo cibernético e no mundo físico se reforçam mutuamente, causando o máximo de danos possível. Após a aceitação de nosso artigo, recebemos a notícia de outro ataque que visava a rede elétrica da Ucrânia, simultaneamente com um ataque cibernético e um ataque cinético.”
Os ataques de malware não são apenas os primeiros e únicos exemplos de ataques cibernéticos a uma rede elétrica, mas apenas parte de um pequeno número de ataques de malware conhecidos à infraestrutura física em geral.
O primeiro exemplo de ataque de malware à infraestrutura física foi o ataque Stuxnet, descoberto em 2010 e implantado alguns anos antes, com a intenção de destruir centrífugas em uma instalação de enriquecimento de urânio no Irã. Antes disso, os ataques de malware visavam apenas sistemas de computador clássicos, como sistemas de TI e financeiros.
Os ataques Industroyer causaram interrupções locais de energia por horas. Esse tipo de ataque exige que os operadores resolvam o problema no local e se reconectem aos sistemas principais. Eles são muito menos catastróficos do que um colapso do sistema, onde uma falha se espalha pelo sistema "massa" e pode paralisar a rede elétrica de um país inteiro.
“Esses ataques puderam causar interrupções locais de energia, mas até agora não houve um colapso em todo o sistema. Um ataque que pudesse causar o colapso da rede elétrica seria muito mais perigoso, pois o país inteiro ficaria sem energia por vários dias”, disse Cardenas.
Nesse caso, todas as instalações do sistema de saúde seriam afetadas, incluindo toda a medicina laboratorial.
Ambos os ataques do Industroyer foram totalmente automatizados, o que significa que não houve mais intervenção humana após sua execução, e áreas da rede elétrica que deveriam ser isoladas da Internet para maior segurança foram violadas. Em ambos os ataques, um computador com Windows em uma subestação ou sala de controle foi comprometido para manipular o status dos disjuntores na rede.
O Industroyer One se comportou como um canivete suíço, pois podia atacar tanto sistemas legados com linhas seriais quanto sistemas modernos com sistemas de comunicação modernos. Foi desenvolvido sem um alvo específico e podia atacar diretamente de uma subestação ou do centro de controle a centenas de quilômetros de distância. Ele esperava arquivos de configuração do próprio sistema para direcionar seu ataque. No entanto, essas características não significavam que ele era livre de erros.
“Oferecia a flexibilidade de atacar de qualquer lugar, mas também descobrimos que ele tinha muitos bugs”, disse Cardenas. “Havia várias falhas de implementação que não estavam em conformidade com o protocolo. Talvez fosse muito direcionado, mas nós o testamos com diferentes tipos de dispositivos e, devido aos bugs, ele funcionou em alguns e não em outros.”
O Industroyer Two, por outro lado, era muito específico, pois seus alvos estavam integrados ao próprio malware, de modo que não era necessário ler arquivos de configuração. Os pesquisadores puderam observar que ele visava três endereços IP coordenados com dispositivos específicos, presumivelmente para controlar disjuntores em subestações específicas. Os bugs presentes no Industroyer One foram corrigidos.
“Talvez tenha sido porque eles tiveram tempo ao longo do tempo para refinar o malware para corrigir os bugs, mas também sabiam melhor o que queriam”, disse Cardenas.
https://dx.doi.org/10.1109/SP54263.2024.00162

