Em 2017 ele apareceu, apelidado de Triton, aterrorizou as empresas de Infraestrutura Crítica em todo o mundo e agora novamente, deixa as mesmas empresas em alerta total. Temido pelo estrago que pode causar, no verdadeiro sentido da palavra, já que ele poderia causar desastres humitários propositais. Nesses dois últimos anos, vem se espalhando sileciosamente no mundo. O pesquisador Julian Gutmanis foi convocado para solucionar um ataque a uma instalação petroquímica na Arábia Saudita, e se espantou com o que encontrou.
Segundo o Technology Review, do MIT, os atacantes implantaram malwares que permitiam acessar remotamente os sistemas de segurança da fábrica que integravam a parte defensiva contra desastres. Com os dispositivos de segurança sob controle, as redes de automação industrial SCADA ficam expostas e podem ser adulteradas. Controlando a rede SCADA pode-se desabilitar ou adulterar os mecanismos, como PLCs, sensores e outros controladores, considerados essenciais para o bom funcionamento das redes industriais, podendo causar consequências catastróficas, como explosões em grande escala, aumento na velocidade de turbinas, derramamento de produtos químicos entre outros. Por sorte, eles foram impedidos por uma falha no próprio código.
Um modelo do PLC Triconex, fabricado pela francesa Schneider Electric, foi o grande alvo do malware Triton. O código paralisou a fábrica saudita duas vezes, em junho e agosto de 2017.
O limite da maldade
Inédito no mercado, nunca havia sido visto um malware que foi projetado deliberadamente para colocar vidas em risco.
Mas é fato que o problema não fica apenas para a empresa petroquímica da Arábia Saudita. Eles são usados em tudo que envolve infraestrutura crítica, desde sistemas de transporte, instalações de tratamento de água, usinas nucleares, empresas do ramo de energia elétrica.
A descoberta
A Internet das Coisas, tem seus benefícios e inovações. O monitoramento remoto, tirar relatórios, validar testes e disponibilidade ocorrem em um momento que todos nós buscamos governança remota. O Triton se aproveita da conectividade que esses dispositivos usam de forma intensa. Para indústria, permitir que os funcionários monitorem remotamente estes aparelhos e coletem dados rapidamente, para tornar as operações mais eficientes, além de monitorar hábitos de consumo.
Certamente que ataques cibernéticos são normalmente utilizados para prejudicar o mundo físico. No entanto, há um grande abismo entre esse fato e a capacidade de softwares maliciosos invadirem sistemas críticos. “Mesmo com o Stuxnet e outros malwares, nunca houve uma intenção flagrante de prejudicar as pessoas”, afirmam os especialistas.
As notícias da existência de Triton foram reveladas em dezembro de 2017, e nos últimos dois anos, as empresas de segurança cibernética têm corrido para executar uma engenharia reversa do malware afim de descobrir todas suas funções e objetivos por trás dele.
Especula-se que os hackers estivessem dentro da rede de TI corporativa da empresa petroquímica desde 2014. A partir daí, eles acabaram encontrando um caminho para a rede da própria fábrica, provavelmente através de um buraco em um firewall mal configurado que deveria impedir o acesso não autorizado. Com isso, os atacantes puderam descobrir o modelo dos controladores de hardware dos sistemas, bem como suas versões operacionais.
Alerta vermelho
A origem do malware é motivo de diversas pesquisas e teorias na área, mas ainda é incerta. Um relatório de outubro da FireEye, uma empresa de segurança cibernética chamada logo no início da investigação do Triton, aponta uma culpada: a Rússia. Os pesquisadores afirmam ter rastreado arquivos digitais deixados para trás pelos hackers na rede da petrolífera saudita, entre eles um endereço IP que tinha sido usado para iniciar operações ligadas ao malware.
O endereço foi registrado no Instituto Central de Pesquisa Científica de Química e Mecânica, em Moscou. Trata-se de uma organização do governo com divisões que se concentram em infraestrutura crítica e segurança industrial. No entanto, o relatório observa que não encontrou provas específicas para culpar o órgão pelo desenvolvimento do Triton.
O fato de os hackers terem se esforçado tanto para desenvolver o Triton é um alerta para fabricantes de sistemas de segurança focados em infraestrutura. Andrew Kling, executivo da Schneider, considera o incidente uma lição importante para que exista uma concentração maior de proteção a alvos altamente improváveis de hackers, mas que poderiam causar desastres se comprometidos.
Estes sistemas são altamente adaptados para proteger diferentes tipos de processos. Portanto, a criação de malwares para controlá-los envolve muito tempo e muito esforço. O controlador Triconex, da Schneider Electric, por exemplo, vem em dezenas de modelos diferentes, e cada um deles pode ser carregado com diferentes versões operacionais.
O que esperar do futuro conectado?
Os riscos são claros: quanto mais equipamentos conectados existirem, mais alvos os hackers devem ter. Para manter os invasores longe, as indústrias de base normalmente contam com uma estratégia conhecida como “defesa em profundidade”. Isso significa criar várias camadas de segurança, começando com firewalls, por exemplo, para separar as redes corporativas da internet.
Essas defesas também incluem items como ferramentas antivírus para detectar malwares e, cada vez mais, softwares de inteligência artificial que tentam detectar um comportamento anormal dentro dos sistemas de TI. Por fim, existem os mecanismos instrumentados de segurança e as falhas físicas. Os mais críticos normalmente têm vários backups físicos para proteger contra falhas de qualquer elemento.
A estratégia provou ser robusta. Mas a ascensão dos hackers, com o tempo, o dinheiro e a motivação para derrubar a infraestrutura crítica, bem como o uso crescente de sistemas conectados à internet, significa que o passado pode não ser um guia confiável para o futuro.
Felizmente, os invasores da fábrica saudita foram interceptados e agora sabemos muito mais sobre como eles funcionavam. Afinal, pelo bem da humanidade, hackers também cometem erros, mas o Triton é um lembrete de que os riscos estão aumentando. Julian Gutmanis acredita que mais ataques usando o malware mais assassino do mundo são inevitáveis: “Eu ficaria surpreso se este fosse o último.”
Como me proteger?
A 4Security, pode lhe ajudar a proteger a sua empresa através dos nossos serviços, produtos e parcerias. Entre em contato conosco e entenda o que o iSOC pode fazer pela sua empresa.