Durante dois dias, em meados de janeiro, alguns ucranianos na cidade de Lviv tiveram de sobreviver sem aquecimento central e em temperaturas congelantes devido a um ataque cibernético a uma empresa municipal de energia. Os investigadores de segurança e as autoridades ucranianas chegaram agora a esta conclusão.
Na terça-feira, a empresa de segurança cibernética Dragos divulgou um relatório detalhando um novo malware chamado FrostyGoop, que a empresa afirma ter sido projetado para atacar sistemas de controle industrial – neste caso específico, especificamente um tipo de controlador de aquecimento.
Os pesquisadores da Dragos escreveram em seu relatório que descobriram o malware pela primeira vez em abril. Na época, Dragos não tinha nenhuma informação sobre o FrostyGoop além da amostra de malware e presumiu que ele estava sendo usado apenas para fins de teste. No entanto, as autoridades ucranianas alertaram mais tarde Dragos que tinham encontrado provas de que o malware foi usado ativamente num ataque cibernético em Lviv, nas primeiras horas da noite de 22 a 23 de janeiro.
“E isso resultou na perda de aquecimento de mais de 600 casas durante quase 48 horas”, disse Magpie Graham, pesquisadora da Dragos, durante uma teleconferência com repórteres que foram informados sobre a situação antes da divulgação do relatório.
Os pesquisadores de Dragos Graham, Kyle O’Meara e Carolyn Ahlers escreveram no relatório que “a reparação dos danos após o incidente levou quase dois dias, durante os quais os civis suportaram temperaturas abaixo de zero”.
Este é o terceiro corte de energia conhecido na Ucrânia nos últimos anos, atribuído a ataques cibernéticos. Embora os pesquisadores afirmem que é improvável que o malware cause cortes generalizados de energia, isso mostra que hackers mal-intencionados estão cada vez mais tentando atacar infraestruturas críticas, como redes de energia.
O malware FrostyGoop foi projetado para interagir com dispositivos de controle industrial (ICS) via Modbus. Este é um protocolo com décadas usado em todo o mundo para controlar dispositivos em ambientes industriais. Assim, segundo Dragos, o FrostyGoop poderia ser usado para atacar outras empresas e entidades em qualquer lugar.
“Existem hoje pelo menos 46.000 dispositivos ICS expostos à Internet que permitem Modbus”, disse Graham aos repórteres.
Dragos disse que o FrostyGoop é o nono malware específico do ICS que ele descobriu ao longo dos anos. O mais famoso deles é o Industroyer (também conhecido como CrashOverride), que foi usado pelo notório grupo de hackers Sandworm, ligado ao governo russo, para desligar as luzes em Kiev e posteriormente desconectar subestações na Ucrânia. Além desses ataques cibernéticos à Ucrânia, Dragos também viu o Triton ser usado contra uma planta petroquímica saudita e mais tarde contra uma segunda planta desconhecida, bem como o malware CosmicEnergy descoberto pela Mandiant no ano passado.
Contate-nos
Você tem mais informações sobre esse ataque cibernético? Ou sobre ataques semelhantes ao ICS na Ucrânia e noutros lugares? A partir de um dispositivo pessoal, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal em +1 917 257 1382 ou no Telegram e Keybase @lorenzofb ou por e-mail. Você também pode entrar em contato com o TechCrunch via SecureDrop.
Os pesquisadores da Dragos escreveram que acreditam que os hackers que controlam o malware FrostyGoop primeiro obtiveram acesso à rede da concessionária municipal alvo, explorando uma vulnerabilidade em um roteador Mikrotik exposto à Internet. Os pesquisadores disseram que o roteador, assim como outros servidores e controladores, incluindo um da empresa chinesa ENCO, não era “suficientemente segmentado”.
Graham disse na ligação que encontraram controladores ENCO abertos na Lituânia, Ucrânia e Romênia, ressaltando mais uma vez que, embora o FrostyGoop tenha sido usado em um ataque direcionado em Lviv desta vez, os hackers estão no controle, mas o malware também pode ser usado em outro lugar.
A ENCO e seus funcionários não responderam imediatamente ao pedido de comentários do TechCrunch.
“Os atacantes não tentaram destruir os controladores. Em vez disso, fizeram com que os controladores reportassem leituras imprecisas, resultando na operação incorreta do sistema e na perda de calor para os clientes”, escrevem os pesquisadores.
Durante a investigação, os pesquisadores concluíram que os hackers “podem ter obtido acesso à rede alvo em abril de 2023”, quase um ano antes de implantarem o malware e desligarem o computador. Nos meses que se seguiram, os hackers continuaram a acessar a rede, conectando-se a ela usando endereços IP de Moscou em 22 de janeiro de 2024, disse o relatório.
Apesar dos endereços IP russos, Dragos não culpou nenhum grupo de hackers ou governo específico conhecido por esta interrupção cibernética, pois a empresa não conseguiu encontrar nenhum link para atividades ou ferramentas anteriores e devido à política de longa data da empresa de não atribuir ataques cibernéticos .Graham disse.
No entanto, Graham disse que ele e os seus colegas estão convencidos de que esta perturbação foi realizada através da Internet e não através do disparo de mísseis contra as instalações. Esta foi provavelmente uma tentativa de minar o moral dos ucranianos que ali viviam.
“Acho que este é um esforço psicológico apoiado por meios cibernéticos, embora os meios cinéticos possam não ter sido a melhor escolha aqui”, disse Graham.
Finalmente, Phil Tonking, Diretor de Tecnologia de Campo da Dragos, disse que embora o FrostyGoop não deva ser subestimado, também não deve ser superestimado.
“É importante reconhecer que, embora isso esteja sendo usado ativamente”, disse ele durante a coletiva de imprensa, “também é muito, muito importante que não acreditemos que isso seja algo que irá derrubar imediatamente a rede elétrica do país”.
&w=75&resize=75,75&ssl=1)
