Ligar usinas nucleares à internet tornam essas infraestruturas civis fundamentais em alvos vulneráveis para ataques.
Se você acredita que atacar uma infraestrutura civil é crime, você está certo. Contudo, espiões do mundo todo estão tramando uma batalha silenciosa e suja para terem acesso a infraestruturas civis, como por exemplo usinas nucleares, de forma a poderem cometer sabotagem em momentos de tensão geopolítica.
Compartilhamos a seguir como a usina nuclear da Índia foi hackeada, e como esse ataque poderia ter sido facilmente evitado.
O ataque à usina KNPP
A notícia veio a público como muitas outras atualmente, pelo twitter. Um especialista em ciber inteligência no órgão NTRO da Índia fez a seguinte publicação: “Agora é público. Acessaram com domain controller a Kundankulam Nuclear Power Plant. O governo foi notificado há muito tempo. Ativos críticos foram atingidos.”
Em um primeiro momento, a Nuclear Power Plant Corporation of India (NPCI) negou o ataque. Em um press release, eles classificaram a informação como falsa e sustentaram a versão de que a KNPP era totalmente segregada de redes externas e também da internet.
Então, o órgão recuou e confirmou que um malware foi descoberto nos sistemas. Mesmo assim, foi dito que o PC infectado estava conectado à rede administrativa, que por sua vez é isolada da rede interna de ativos críticos.
Um ataque direcionado
Ao contrário dos relatos iniciais, o malware teve como alvo específico a usina da KNPP, segundo pesquisadores do CyberBit. Uma engenharia reversa feita em uma amostra do malware revelou credenciais de admin da rede da KNPP codificadas dentro do malware. Além de endereços de IP (172.22.22.156, 10.2.114.1, 172.22.22.5, 10.2.4.1, 10.38.1.35), que são por definição não roteáveis para a internet.
Essas descobertas revelam forte indício de que essa é uma segunda etapa de um ataque. O malware descoberto, contudo, não incluia funcionalidades do Stuxnet (malware usado no famoso ataque contra as usinas de enriquecimento do Irã) para destruir os sistemas. De acordo com os pesquisadores, o grande objetivo era a coleta de informações.
Análise do Malware
O malware escondeu dentro dele cópias ilegítimas de programas, como 7zip e VNC. Essa técnica muitas vezes consegue se esconder de soluções de antivírus. Uma checagem adequada de assinaturas de programas teria mitigado esse vetor de ataque, já que o programa modificado teria uma assinatura diferente da habilitada pelo fabricante original.
Passivamente detectar esse tipo de ataque é algo muito difícil. Para se pegar um ataque tão sofisticado e direcionado, é preciso ter realmente uma segurança robusta, integrada e que esteja em conformidade em todos os pontos e superfícies de ataque.
Os Reais Efeitos do Ataque
Como dissemos anteriormente, o ataque a essa usina não teve evidências de ser um ataque em busca de destruir ou danificar a operação da usina. As evidências apontam para espionagem e coleta de informações, algum Estado ou grupo terrorista pode estar por trás do ataque, coletando informações que podem ser usadas em momentos de tensão geopolítica.
