Na segunda quinzena do ano passado, hackers atingiram uma estação de transmissão elétrica ao norte da cidade de Kiev, na Rússia, deixando uma parcela da capital ucraniana equivalente a um quinto da capacidade total de energia. Segundo as empresas de segurança cibernética ESET e Dragos Inc a interrupção durou cerca de uma hora – dificilmente uma catástrofe.
Segundo elas, foi usado para atacar a Ukrenergo Ucrânia Elétrica o malware que chamam de "Industroyer" ou "Crash Override", os primeiros malwares de código mal-intencionados criados para destruir sistemas físicos. O primeiro, Stuxnet, foi usado pelos EUA e Israel para destruir centrífugas em uma instalação de enriquecimento nuclear iraniano em 2009.
Os pesquisadores dizem que esse novo malware pode automatizar as quedas de energia em massa, como o da capital da Ucrânia, e inclui componentes plug-ins intercambiáveis ??que podem permitir sua adaptação a diferentes utilitários elétricos, facilmente reutilizados ou mesmo lançados simultaneamente em vários destinos. Eles argumentam que esses recursos sugerem que o Crash Override poderia causar interrupções muito mais difundidas e duradouras do que o apagão de Kiev.
A adaptabilidade do malware significa que a ferramenta representa uma ameaça não apenas para a infraestrutura crítica da Ucrânia, dizem os pesquisadores, mas para outras redes de energia em todo o mundo, incluindo a América. "Isso é extremamente alarmante pelo fato de que nada sobre isso é exclusivo da Ucrânia", diz Robert M. Lee, fundador da empresa de segurança Dragos e um ex-analista de inteligência.
Juntos, os dois ataques compreendem os únicos casos confirmados de apagões causados ??por hackers no histórico. Mas, enquanto o primeiro desses ataques recebeu mais atenção do que o que seguiu, as novas descobertas sobre o malware usado nesse último ataque mostram que era muito mais do que uma mera repetição.
Nenhuma das duas empresas de segurança sabe como o malware inicialmente infectou Ukrenergo. A ESET observa que os e-mails de phishing direcionados permitiram o acesso necessário para o ataque de blackout em 2015 e suspeita que os hackers possam ter usado a mesma técnica um ano depois.
Mas, uma vez que o Crash Override infectou as máquinas Windows na rede de uma vítima mapeia automaticamente os sistemas de controle e localiza o equipamento alvo. O programa também grava logs de rede que pode enviar de volta aos seus operadores, para que aprendam como esses sistemas de controle funcionam ao longo do tempo.
