O malware mais perigoso do mundo tem nome e está se espalhando

O código não autorizado pode desativar sistemas de segurança projetados para evitar acidentes industriais catastróficos. Ele foi descoberto no Oriente Médio, mas os hackers por trás dele agora estão atacando empresas na América do Norte e outras partes do mundo também.

Como um experiente socorrista cibernético, Julian Gutmanis já havia sido chamado muitas vezes antes para ajudar as empresas a lidar com as consequências dos ataques cibernéticos. Mas quando o consultor de segurança australiano foi convocado para uma instalação petroquímica na Arábia Saudita no verão de 2017, o que ele encontrou fez seu sangue gelar.

Os hackers haviam implantado softwares mal-intencionados, ou malware, que os deixavam assumir os sistemas instrumentados de segurança da fábrica. Esses controladores físicos e seus softwares associados são a última linha de defesa contra desastres que ameaçam a vida. Eles devem entrar em ação se detectarem condições perigosas, retornando os processos a níveis seguros ou desligando-os completamente, acionando coisas como válvulas de fechamento e mecanismos de liberação de pressão.

O malware tornou possível assumir esses sistemas remotamente. Se os intrusos tivessem desabilitado ou adulterado, e depois usado outro software para fabricar o equipamento no mau funcionamento da fábrica, as consequências poderiam ter sido catastróficas. Felizmente, uma falha no código deixou os hackers longe antes que pudessem causar algum dano. Isso desencadeou uma resposta de um sistema de segurança em junho de 2017, que paralisou a fábrica. Então, em agosto, vários outros sistemas foram acionados, causando outro desligamento.

A primeira falha foi erroneamente atribuída a uma falha mecânica; depois do segundo, os donos da usina chamaram os investigadores. Os detetives encontraram o malware, que já foi apelidado de “Triton” (ou às vezes “Trisis”) para o modelo de controlador de segurança Triconex que é o alvo, que é fabricado pela Schneider Electric, uma empresa francesa.

Na pior das hipóteses, o código poderia ter levado à liberação de gás sulfídrico tóxico ou causado explosões, colocando vidas em risco tanto nas instalações quanto na área circundante.

Gutmanis lembra que lidar com o malware na planta petroquímica, que havia sido reiniciado após o segundo incidente, foi uma experiência estressante. “Sabíamos que não poderíamos confiar na integridade dos sistemas de segurança”, diz ele. “Foi tão ruim quanto poderia.”

Ao atacar a planta, os hackers cruzaram um aterrorizante Rubicon. Esta foi a primeira vez que o mundo da segurança cibernética viu o código projetado deliberadamente para colocar vidas em risco. Sistemas instrumentados de segurança não são encontrados apenas em plantas petroquímicas; eles também são a última linha de defesa em tudo, desde sistemas de transporte até instalações de tratamento de água e usinas nucleares.

O futuro do crime: nossas vidas digitais são hackeáveis, mas há esperança se agirmos agora

A descoberta de Triton levanta questões sobre como os hackers conseguiram entrar nesses sistemas críticos. Também ocorre em um momento em que as instalações industriais estão incorporando conectividade em todos os tipos de equipamentos – um fenômeno conhecido como internet industrial das coisas. Essa conectividade permite que os funcionários monitorem remotamente os equipamentos e coletem dados rapidamente, para que eles possam tornar as operações mais eficientes, mas também oferece aos hackers mais alvos em potencial.

Aqueles atrás de Triton estão agora em busca de novas vítimas. A Dragos, uma empresa especializada em segurança cibernética industrial, e onde Gutmanis agora trabalha, diz que tem visto no ano passado que o grupo de hackers que construiu o malware e o inseriu na fábrica saudita está usando algumas das mesmas tradições digitais para alvos de pesquisa em lugares fora do Oriente Médio, incluindo a América do Norte. E está criando novas variações do código para comprometer uma gama mais ampla de sistemas instrumentados de segurança.

A bíblia hacker – vol. 1 de 12 o maior livro hacker do mundo. Essa é a versão atualizada da bíblia hacker com 1600 páginas distribuídas em 12 volumes. Aprenda como os mais perigosos funcionam.

Alerta vermelho é o malware mais perigoso do mundo

As notícias da existência de Triton foram reveladas em dezembro de 2017, embora a identidade do proprietário da planta tenha sido mantida em segredo. (Gutmanis e outros especialistas envolvidos na investigação inicial recusam-se a nomear a empresa porque temem que isso possa dissuadir os alvos futuros de compartilhar informações sobre ataques cibernéticos em particular com pesquisadores de segurança.)

Nos últimos dois anos, as empresas de segurança cibernética têm corrido para desconstruir o malware e descobrir quem está por trás dele. Sua pesquisa retrata uma imagem preocupante de uma sofisticada ciberespionagem construída e implantada por um grupo de hackers determinado e paciente cuja identidade ainda não foi estabelecida com certeza.

Os hackers parecem ter estado dentro da rede de TI corporativa da empresa petroquímica desde 2014. A partir daí, eles acabaram encontrando um caminho para a rede da própria fábrica, provavelmente através de um buraco em um firewall digital mal configurado que deveria impedir o acesso não autorizado. Em seguida, eles entraram em uma estação de trabalho de engenharia, explorando uma falha não corrigida em seu código do Windows ou interceptando as credenciais de login de um funcionário.

Como a estação de trabalho se comunicava com os sistemas instrumentados de segurança da fábrica, os hackers puderam aprender a marca e o modelo dos controladores de hardware dos sistemas, bem como as versões de seus firmware – software embutido na memória de um dispositivo e que rege sua comunicação outras coisas.

É provável que eles tenham adquirido uma máquina idêntica da Schneider e usado para testar o malware que eles desenvolveram. Isso tornou possível imitar o protocolo, ou conjunto de regras digitais, usado pela estação de trabalho de engenharia para se comunicar com os sistemas de segurança. Os hackers também encontraram uma “vulnerabilidade de dia zero”, ou bug anteriormente desconhecido, no firmware do modelo Triconex. Isso permitiu que eles injetassem código nas memórias dos sistemas de segurança, garantindo que eles pudessem acessar os controladores sempre que quisessem.

Assim, os intrusos poderiam ter ordenado que os sistemas instrumentados de segurança se desabilitassem e, em seguida, usassem outro malware para acionar uma situação insegura na fábrica.

Os resultados poderiam ter sido horríveis. O pior desastre industrial do mundo até o momento também envolveu um vazamento de gases venenosos. Em dezembro de 1984, uma fábrica de pesticidas da Union Carbide em Bhopal, na Índia, liberou uma vasta nuvem de fumaça tóxica, matando milhares de pessoas e causando ferimentos graves em muitos outros. A causa que o tempo foi má manutenção e erro humano. Mas o mau funcionamento e os sistemas de segurança inoperáveis da fábrica fizeram com que sua última linha de defesa falhasse.

Algumas ameaças ciber-físicas notáveis.

2010 ? Stuxnet

Desenvolvido pela Agência Nacional de Segurança dos Estados Unidos, trabalhando em conjunto com a inteligência israelense, o malware era um worm de computador, ou código que se replica de computador para computador sem intervenção humana. Muito provavelmente contrabandeado em um pendrive, visou controladores lógicos programáveis que governam processos automatizados e causou a destruição de centrífugas usadas no enriquecimento de urânio em uma instalação no Irã.

2013 ?️‍♂️ Havex

O Havex foi projetado para bisbilhotar sistemas que controlam equipamentos industriais, presumivelmente para que os hackers pudessem descobrir como montar ataques no equipamento. O código era um Trojan de acesso remoto, ou RAT, que é um software cibernético que permite aos hackers controlarem os computadores remotamente. A Havex teve como alvo milhares de empresas dos EUA, Europa e Canadá, e especialmente as das indústrias de energia e petroquímica.

2015 ⚡️ BlackEnergy

O BlackEnergy, que é outro Trojan, circulava no submundo do crime por um tempo antes de ser adaptado por hackers russos para lançar um ataque em dezembro de 2015 em várias empresas de energia ucranianas que ajudaram a desencadear apagões. O malware foi usado para reunir informações sobre os sistemas das empresas de energia e para roubar credenciais dos funcionários.

2016 ⚡️ CrashOverride

Também conhecido como Industroyer, também foi desenvolvido por guerreiros cibernéticos russos, que o usaram para montar um ataque a uma parte da rede elétrica da Ucrânia em dezembro de 2016. O malware replicou os protocolos, ou linguagens de comunicação, que diferentes elementos de uma grade usavam conversar um com o outro. Isso permite fazer coisas como mostrar que um disjuntor está fechado quando está realmente aberto. O código foi usado para atacar uma subestação de transmissão elétrica em Kiev, obscurecendo parte da cidade por um curto período de tempo.


5 dicas para reforçar a segurança de dados no Windows

Mais alertas vermelhos

Houve apenas alguns exemplos anteriores de hackers usando o ciberespaço para tentar atrapalhar o mundo físico. Eles incluem o Stuxnet, que fez com que centenas de centrífugas de uma usina nuclear iraniana saíssem do controle e se destruíssem em 2010, e o CrashOverride, que os hackers russos usaram em 2016 para atacar a rede elétrica da Ucrânia. (Nossa barra lateral fornece um resumo desses e de outros ataques ciber-físicos notáveis.)

No entanto, nem mesmo o mais pessimista dos ciber-Cassandras viram um malware como o Triton. “Visar os sistemas de segurança parecia estar fora dos limites, moral e realmente difícil de fazer tecnicamente”, explica Joe Slowik, ex-oficial de guerra de informações da Marinha dos EUA, que também trabalha na Dragos.

Outros especialistas também ficaram chocados quando viram notícias do código assassino. “Mesmo com o Stuxnet e outros malwares, nunca houve uma intenção flagrante de prejudicar as pessoas”, diz Bradford Hegrat, consultor da Accenture especializado em segurança cibernética industrial.

É quase certo que não é coincidência que o malware tenha aparecido quando hackers de países como Rússia, Irã e Coréia do Norte intensificaram a investigação de setores de “infraestrutura crítica” vitais para o bom funcionamento das economias modernas, como empresas de petróleo e gás, concessionárias de eletricidade. e redes de transporte.

Em um discurso no ano passado, Dan Coats, diretor de inteligência nacional dos EUA, alertou que o perigo de um ataque cibernético incapacitante à infra-estrutura crítica americana estava crescendo. Ele traçou um paralelo com o aumento da interferência cibernética das agências de inteligência dos EUA detectadas entre grupos terroristas antes do ataque ao World Trade Center em 2001. “Aqui estamos quase duas décadas depois, e estou aqui para dizer que as luzes de aviso estão piscando de novo” disse Coats. “Hoje, a infraestrutura digital que serve esse país está literalmente sob ataque”.

No início, Triton foi amplamente pensado para ser o trabalho do Irã, dado que ele e Arábia Saudita são arquiinimigos. Mas os cyber-whodunnits raramente são diretos. Em um relatório publicado em outubro passado, a FireEye, uma empresa de segurança cibernética que foi chamada logo no início da investigação da Triton, apontou um outro culpado: a Rússia.

Os hackers por trás do Triton testaram elementos do código usado durante a invasão para dificultar a detecção de programas antivírus. Os pesquisadores da FireEye descobriram um arquivo digital que eles haviam deixado para trás na rede da empresa petroquímica e, em seguida, conseguiram rastrear outros arquivos no mesmo banco de testes. Estes continham vários nomes em caracteres cirílicos, bem como um endereço IP que tinha sido usado para iniciar operações ligadas ao malware.

Esse endereço foi registrado no Instituto Central de Pesquisa Científica de Química e Mecânica, em Moscou, uma organização do governo com divisões que se concentram em infra-estrutura crítica e segurança industrial. A FireEye também disse que encontrou evidências que apontavam para o envolvimento de um professor no instituto, embora não identificasse a pessoa. No entanto, o relatório observou que a FireEye não encontrou provas específicas que provassem definitivamente que o instituto havia desenvolvido o Triton.

Os pesquisadores ainda estão pesquisando as origens do malware, portanto, mais teorias sobre quem está por trás dele ainda podem surgir. Gutmanis, por sua vez, está disposto a ajudar as empresas a aprenderem lições importantes de sua experiência na fábrica saudita. Em uma apresentação na conferência de segurança industrial S4X19, em janeiro, ele descreveu vários deles. Eles incluíram o fato de que a vítima do ataque de Triton havia ignorado vários alarmes de antivírus acionados pelo malware, e que ele não conseguiu detectar algum tráfego incomum em suas redes. Os funcionários da fábrica também deixaram as chaves físicas que controlam as configurações nos sistemas Triconex em uma posição que permitia que o software das máquinas fosse acessado remotamente.

A linha do tempo de Triton

2014

Hackers ganham acesso a rede da planta saudita.

Junho de 2017

Primeiro desligamento da planta.

Agosto de 2017

Desligamento da segunda planta.

Dezembro de 2017

Cyber-ataque tornado público.

Outubro de 2018

Fireeye diz que o Triton provavelmente foi construído no laboratório russo.

Janeiro de 2019

Mais detalhes emergem da resposta do incidente Triton.


Os 5 Tipos de Malwares mais Comuns

Se isso faz com que os negócios sauditas pareçam um caso de segurança, Gutmanis diz que não é. “Participei de muitas fábricas nos EUA que não eram nem de longe tão maduras [em sua abordagem da segurança cibernética] quanto essa organização”, explica ele.

Outros especialistas notam que o Triton mostra que os hackers do governo agora estão dispostos a perseguir alvos relativamente obscuros e difíceis de atingir em instalações industriais. Os sistemas instrumentados de segurança são altamente adaptados para proteger diferentes tipos de processos, portanto, a criação de malwares para controlá-los envolve muito tempo e muito esforço. O controlador Triconex da Schneider Electric, por exemplo, vem em dezenas de modelos diferentes, e cada um deles pode ser carregado com diferentes versões de firmware.

O fato de os hackers terem se esforçado tanto para desenvolver o Triton foi um alerta para a Schneider e outros fabricantes de sistemas de segurança instrumentados – empresas como a Emerson nos EUA e a Yokogawa no Japão. Schneider foi elogiado por compartilhar publicamente detalhes de como os hackers atacaram seu modelo Triconex na fábrica da Arábia Saudita, inclusive destacando o bug de dia zero que já foi corrigido. Mas durante sua apresentação em janeiro, Gutmanis criticou a empresa por não se comunicar o suficiente com os investigadores logo após o ataque.

A Schneider respondeu dizendo que cooperou totalmente com a empresa cuja fábrica foi alvo, bem como com o Departamento de Segurança Interna dos EUA e outras agências envolvidas na investigação da Triton. Ela contratou mais pessoas desde o evento para ajudar a responder a incidentes futuros e também reforçou a segurança do firmware e dos protocolos usados ​​em seus dispositivos.

Andrew Kling, executivo da Schneider, diz que uma lição importante da descoberta da Triton é que as empresas industriais e fabricantes de equipamentos precisam se concentrar ainda mais em áreas que podem parecer alvos altamente improváveis ​​de hackers, mas que poderiam causar desastres se comprometidas. Isso inclui coisas como aplicativos de software que raramente são usados ​​e protocolos mais antigos que controlam a comunicação máquina-a-máquina. “Você pode pensar que ninguém vai se incomodar em quebrar um protocolo obscuro que nem sequer é documentado”, diz Kling, “mas você precisa perguntar, quais são as consequências se eles o fizerem?”

O malware mais perigoso do mundo
Imagem: Ariel Davis

Um futuro analógico?

Ao longo da última década, as empresas vêm adicionando conectividade à Internet e sensores a todos os tipos de equipamentos industriais. Os dados capturados estão sendo usados ​​para tudo, desde a manutenção preditiva – o que significa usar modelos de aprendizado de máquina para prever melhor quando o equipamento precisa de manutenção – para aperfeiçoar os processos de produção. Também houve um grande esforço para controlar os processos remotamente por meio de smartphones e tablets.

Tudo isso pode tornar as empresas muito mais eficientes e produtivas, o que explica por que se espera que gastem cerca de US $ 42 bilhões este ano em equipamentos industriais de internet, como sensores inteligentes e sistemas de controle automatizados, segundo o ARC Group, que monitora o mercado. Mas os riscos também são claros: quanto mais equipamentos conectados existirem, mais alvos os hackers devem ter.

Para manter os invasores afastados, as empresas industriais normalmente contam com uma estratégia conhecida como “defesa em profundidade”. Isso significa criar várias camadas de segurança, começando com firewalls para separar as redes corporativas da Internet. Outras camadas destinam-se a impedir que hackers entrem em redes de plantas e, em seguida, em sistemas de controle industrial.

Essas defesas também incluem coisas como ferramentas antivírus para detectar malware e, cada vez mais, software de inteligência artificial que tenta detectar um comportamento anormal dentro dos sistemas de TI. Então, como o backstop final, existem os sistemas de segurança instrumentados e as falhas físicas. Os sistemas mais críticos normalmente têm vários backups físicos para proteger contra a falha de qualquer elemento.

A estratégia provou ser robusta. Mas a ascensão dos hackers com o tempo, o dinheiro e a motivação para direcionar a infra-estrutura crítica, bem como o uso crescente de sistemas conectados à Internet, significa que o passado pode não ser um guia confiável para o futuro.

A Rússia, em particular, mostrou que está disposta a transformar software em arma e implantá-lo em alvos físicos na Ucrânia, que ele usou como campo de testes para seu kit de armas cibernéticas. E a implantação da Triton na Arábia Saudita mostra que hackers determinados gastarão anos de investigação e sondagem para encontrar maneiras de perfurar todas essas camadas defensivas.

Quanto mais equipamentos conectados existirem, mais alvos os hackers devem ter.

Felizmente, os invasores da fábrica saudita foram interceptados e agora sabemos muito mais sobre como eles funcionavam. Mas é um lembrete de que, assim como outros desenvolvedores, os hackers também cometem erros. E se o bug inadvertidamente introduzido, em vez de desencadear um desligamento seguro, desativasse os sistemas de segurança da fábrica justamente quando um erro humano ou outro erro fizesse com que um dos processos críticos da fábrica fosse descontrolado? O resultado poderia ter sido uma catástrofe, mesmo que os hackers não tivessem a intenção de causar isso.

Especialistas em locais como o Idaho National Laboratory, dos EUA, estão pedindo que as empresas revisitem todas as suas operações à luz do Triton e outras ameaças ciber-físicas, e reduzam radicalmente ou eliminem os caminhos digitais que os hackers poderiam usar para chegar a processos críticos.

As empresas podem se irritar com os custos de fazer isso, mas a Triton é um lembrete de que os riscos estão aumentando. Gutmanis acredita que mais ataques usando o malware mais assassino do mundo são inevitáveis. “Enquanto este foi o primeiro”, diz ele, “eu ficaria surpreso se ele for o último.”

Artigo publicado originalmente em MIT Technology Review.

O autor do texto é Martin Giles, chefe da sucursal do MIT Technology Review em San Francisco, para ver o artigo original em inglês, clique aqui -> . Triton is the world’s most murderous malware, and it’s spreading

Sair da versão mobile