Como funcionam os ataques cibernéticos em oleodutos e outras instalações industriais?

Não é novidade que muitas grandes instituições de tecnologia sofreram um ataque cibernético após o outro. Mas um ataque cibernético contra tecnologias operacionais de plantas industriais como oleodutos e centrais elétricas?

Isso é audacioso e humilhante. E não é brincadeira quando bate. Tais ataques, se bem-sucedidos, paralisam as operações industriais e afetam negativamente as pessoas que dependem da indústria vitimada. Pior, poderia prejudicar economicamente uma nação.

Mas como funcionam os ataques cibernéticos em oleodutos e outras instalações industriais? Vamos cavar.

Por que os ataques cibernéticos acontecem em instalações industriais

Para a maioria de nós, não faz sentido como e por que alguém teria a chance de lançar um ataque cibernético orquestrado digitalmente contra uma planta industrial operada mecanicamente.

Bem, na realidade, agora vemos inteligência artificial, aprendizado de máquina e mais tecnologias digitais assumindo operações mecânicas e até técnicas em plantas industriais. Como tal, seus dados operacionais, informações logísticas e muito mais estão agora na internet e suscetíveis a roubo e ataque.

Existem muitas razões pelas quais os ataques cibernéticos estão se tornando mais desenfreados em instalações industriais, como tubulações, usinas de energia, estações de abastecimento de água, indústrias de alimentos e afins.

Qualquer que seja o motivo, ele provavelmente se enquadrará em uma das seguintes categorias.

1. Motivos Políticos, Econômicos e de Negócios

Do ponto de vista comercial, os invasores às vezes invadem um sistema industrial para obter informações sobre formulações químicas, marcas, tamanho do mercado, planos técnicos e de negócios e assim por diante. Isso pode vir de uma empresa concorrente ou daqueles que pretendem iniciar.

No entanto, a política também desempenha um fator. Os ataques cibernéticos patrocinados pelo Estado geralmente pretendem prejudicar a infraestrutura econômica de outro país para mostrar a força e as capacidades de seu país. Uma das maneiras de conseguir isso é interromper os processos nas indústrias que impulsionam a economia de um país vítima. E houve relatos de alguns deles aqui e ali.

2. Motivos financeiros

Esse é um dos motivos mais comuns por trás dos ataques cibernéticos. Os invasores podem invadir um sistema industrial por vários motivos financeiros, desde a recuperação de informações de cartão de crédito até o roubo de informações financeiras.

Eles geralmente conseguem isso por meio de malware ou trojans, para que possam acessar o sistema sem serem detectados. Uma vez dentro, eles podem sugar dados relativos a processos técnicos. O hacker pode então oferecer as informações que roubou no mercado negro a qualquer pessoa interessada.

Outra maneira de ganhar dinheiro é através da injeção de ransomware, onde os invasores criptografam os dados do alvo e depois vendem a senha por uma boa quantia.

Relacionado: O que é Ransomware e como você pode removê-lo?

Há também ataques distribuídos de negação de serviço (DDoS), em que vários computadores infectados acessam simultaneamente o site de um alvo, sobrecarregando seus sistemas. Isso impede que os clientes entrem em contato com a referida empresa até que parem o ataque.

Como funcionam esses ataques cibernéticos? Exemplos notáveis

Agora que você viu as principais razões por trás dos ataques cibernéticos em plantas industriais. Vamos entender como funciona a partir desses exemplos notáveis.

1. O Gasoduto Colonial

O Oleoduto Colonial movimenta aproximadamente 3 milhões de barris de produtos petrolíferos diariamente nos EUA. É o maior oleoduto de combustível nos EUA. Claro, alguém poderia imaginar a dificuldade de hackear um sistema tão complexo.

Mas o impensável aconteceu. As notícias de seu hack foram manchetes ao longo de maio de 2021, com o presidente Joe Biden declarando estado de emergência devido à escassez de combustível de aviação e à compra de gasolina e óleo de aquecimento em pânico. Isso foi depois que o pipeline encerrou todas as operações devido ao ataque cibernético.

Como os hackers paralisaram as operações da Colonial Pipeline? Através de ransomware. As especulações eram de que os invasores estavam dentro da rede do oleoduto por semanas sem serem notados.

Depois de acessar a rede do pipeline usando a senha e o nome de usuário vazados de uma equipe encontrados no teia escura, os invasores injetaram software malicioso no sistema de TI do pipeline, criptografando sua rede de cobrança e mantendo-os como reféns. Eles então foram mais longe para roubar cerca de 100 gigabytes de dados e pediram um resgate pago em Bitcoin em troca de descriptografia.

Como o referido nome de usuário e senha vazaram na dark web? Ninguém tinha certeza. Mas um possível culpado é o phishing, direcionado a uma equipe da Colonial Pipeline.

Relacionado: Quem estava por trás do ataque do oleoduto colonial?

Embora esse ataque não tenha afetado os sistemas mecânicos operados digitalmente, o efeito do ransomware poderia ter sido mais devastador se a Colonial Pipeline arriscasse mais operações, apesar do ataque cibernético.

2. Sistema de Abastecimento de Água Oldsmar (Flórida)

No caso do sistema de abastecimento de água Oldsmar, os hackers assumiram o controle virtual da infraestrutura de tratamento químico por meio do TeamViewer, um software de compartilhamento de tela utilizado pela equipe técnica.

Uma vez lá dentro, o atacante foi direto para o sistema de controle de tratamento da instalação e aumentou o nível de hidróxido de sódio adicionado à água a um nível tóxico – precisamente de 100 a 11.100 partes por milhão (ppm).

Se a equipe de plantão não tivesse percebido esse aumento ridículo no nível químico e o tivesse reduzido ao normal, os hackers pretendiam cometer assassinato em massa.

Como esses invasores obtiveram credenciais do TeamViewer para acessar remotamente a interface homem-máquina?

Eles devem ter explorado duas vulnerabilidades no sistema de controle da Oldsmar. Primeiro, todos os funcionários usaram o mesmo ID e senha do TeamViewer para acessar o sistema invadido. Em segundo lugar, o software do sistema estava desatualizado, pois operava no Windows 7, que a Microsoft disse ser mais vulnerável a ataques de malware devido ao suporte descontinuado.

Os hackers devem ter entrado com força bruta ou farejado o sistema desatualizado usando malware.

3. Subestações de energia ucranianas

Aproximadamente 225.000 pessoas foram jogadas na escuridão depois que o sistema de rede elétrica ucraniano sofreu um ataque cibernético em dezembro de 2015. Desta vez, os invasores usaram o BlackEnergy, um malware de controle de sistema versátil, para atingir seu objetivo.

Mas como eles encontraram uma maneira de injetar esse malware em uma instalação industrial tão grande?

Os hackers já haviam lançado uma campanha massiva de phishing antes do ataque. O e-mail de phishing enganou os funcionários a clicar em um link que os levou a instalar um plug-in malicioso disfarçado de Macros.

O referido plugin permitiu que o bot BlackEnergy infectasse o sistema de grade com sucesso através do acesso backdoor. Os hackers então obtiveram credenciais de VPN que permitem que a equipe controle o sistema de rede remotamente.

Uma vez lá dentro, os hackers levaram um tempo para monitorar os processos. E quando prontos, eles desconectaram a equipe de todos os sistemas, assumiram o controle do processador de controle supervisório e aquisição de dados (SCADA). Eles então desativaram a energia de backup, desligaram 30 subestações de energia e usaram ataques de negação de serviço para evitar relatórios de interrupção.

4. O Ataque Tritão

Triton é um script de malware que visa principalmente sistemas de controle industrial. Sua potência foi sentida quando, em 2017, um grupo de hackers o injetou no que especialistas acreditavam ser uma usina petroquímica na Arábia Saudita.

Esse ataque também seguiu o padrão de phishing e provável força bruta de senhas para obter acesso backdoor inicial aos sistemas de controle antes de injetar o malware.

Depois disso, os hackers obtiveram acesso de controle remoto à estação de trabalho do sistema instrumentado de segurança (SIS) para evitar que relatassem falhas corretamente.

Relacionado: O que é um hack da cadeia de suprimentos e como você pode se manter seguro?

No entanto, parecia que os invasores estavam apenas aprendendo como o sistema funciona antes de lançar um ataque real. Enquanto os hackers se movimentavam e ajustavam o sistema de controle, toda a fábrica foi fechada, graças a alguns sistemas de segurança que ativaram uma proteção contra falhas.

5. O ataque do Stuxnet

Stuxnet é um worm de computador voltado principalmente para controladores lógicos programáveis ​​(PLCs) em instalações nucleares. O worm, desenvolvido pela equipe conjunta dos EUA e Israel, viaja via flash USB com afinidade para o sistema operacional Windows.

O Stuxnet funciona assumindo os sistemas de controle e ajustando os programas existentes para induzir danos nos PLCs. Em 2010, foi usado como arma cibernética contra uma instalação de enriquecimento de urânio no Irã.

Depois de infectar mais de 200.000 computadores dentro da instalação, o worm reprogramou as instruções de rotação na centrífuga de Uranium. Isso fez com que eles girassem abruptamente e se autodestruíssem no processo.

6. Unidade de Processamento de Carnes JBS

Como o lucro é iminente, os hackers não isentarão as indústrias de processamento de alimentos de suas expedições. Motivos financeiros levaram hackers a seqüestrar operações na JBS, a maior fábrica de processamento de carne do mundo, em junho de 2021.

Consequentemente, a empresa encerrou todas as operações na América do Norte e na Austrália. Isso aconteceu algumas semanas após o ataque do Oleoduto Colonial.

Como foi o ataque à planta industrial da JBS?

Assim como no caso do Colonial Pipeline, os invasores infectaram o sistema de processamento de carne da JBS com ransomware. Eles então ameaçaram excluir informações de alto perfil caso a empresa não pagasse um resgate em criptomoeda.

Ciberataques industriais seguem um padrão

Embora cada um desses ataques tenha um plano de ação, um padrão que podemos deduzir é que os hackers tiveram que violar os protocolos de autenticação para obter a entrada inicial. Eles conseguem isso por meio de força bruta, phishing ou sniffing.

Eles então instalam qualquer malware ou vírus no sistema industrial alvo para ajudá-los a atingir seus objetivos.

Ciberataques em instalações industriais são devastadores

O ataque cibernético está aumentando e se tornando assustadoramente lucrativo na internet. Como você viu, isso não afeta apenas a organização-alvo, mas também se espalha para as pessoas que se beneficiam de seus produtos. As próprias operações mecânicas não são vulneráveis ​​a ataques cibernéticos, mas as tecnologias digitais de controle por trás delas as tornam vulneráveis.

Dito isso, a influência dos sistemas de controle digital nos processos técnicos é valiosa. As indústrias só podem fortalecer seus firewalls e seguir regras de segurança, verificações e equilíbrios rígidos para evitar ataques cibernéticos.

6 melhores práticas de segurança de aplicativos da Web para evitar ataques cibernéticos

Prevenir ataques cibernéticos é crucial, e ser inteligente ao usar aplicativos da web ajudará você a se proteger online.

Leia a seguir

Sobre o autor