A ideia de que governos e militares possam usar malwares como "arma" em contextos de tensão geopolítica foi uma teoria incipiente que começou a se materializar a partir de 2010 com o crescimento de ataques direcionados usando malwares, no qual os ataques foram provavelmente patrocinados por um estado-nação. E infelizmente há vários exemplos que podemos encontrar em 2022 nos quais malwares foram usados como arma de propagação em massa para gerar desestabilização, principalmente a partir do conflito entre a Rússia e a Ucrânia. O conflito geopolítico entre os dois países destacou o potencial das ameaças cibernéticas e aumentou a conscientização sobre os riscos e o alcance dos ataques a infraestruturas e serviços críticos em todo o mundo.

Ataques a infraestruturas críticas: uma constante nos últimos anos

Quando falamos de infraestruturas críticas, estamos nos referindo a sistemas, tanto digitais quanto físicos, que fornecem serviços essenciais à sociedade e que caso sejam afetados por um ataque cibernético podem provocar um sério impacto na segurança, economia, política, energia, saúde, comunicações, transporte ou qualquer outro setor crítico de um país.

O primeiro incidente relacionado a ataques deste tipo ocorreu em 2010 com o aparecimento do Stuxnet, um malware que explorou uma vulnerabilidade zero-day para executar um código malicioso hospedado em um dispositivo USB. Posteriormente, surgiram outras ameaças como o Duqu e o Flame.

O código do Stuxnet continha instruções para ataques específicos aos sistemas de controle industrial SCADA (Supervisory Control And Data Acquisition), que são usados em operações que vão desde o controle automático de edifícios inteligentes até o controle de sistemas de usinas de energia nuclear. Foi um ataque direcionado que utilizou o primeiro malware direcionado a sistemas de controle industrial. Mas foi apenas um dos muitos que surgiram logo depois.

Em 2012, o trojan BlackEnergy se tornou publicamente conhecido. A ameaça foi utilizada para realizar ataques DDoS, campanhas de ciberespionagem e ataques de destruição de informações. O BlackEnergy foi utilizado em várias campanhas contra organizações de todos os tipos, incluindo governamentais, diplomáticas, meios de comunicação, transportes, mas o ataque mais notável foi contra a rede elétrica ucraniana em 23 de dezembro de 2015. Nesta ocasião, cerca da metade das residências de uma região ucraniana chamada Ivano-Frankivsk ficaram sem energia elétrica por horas. Os ataques com o BlackEnergy se intensificaram desde o final de 2013 e início de 2014.

Dois anos mais tarde, em 2014, foi detectado outro malware projetado para atacar sistemas industriais de fabricantes de aplicativos e máquinas na Europa e nos Estados Unidos. Desta vez, o responsável foi o Havex, um trojan de acesso remoto (RAT) capaz de coletar dados de sistemas de controle industrial. O ataque foi aparentemente uma tentativa de reunir a inteligência necessária para executar posteriormente ataques direcionados a infraestruturas usando hardware dos fabricantes escolhidos como alvos.

Em 2016, a rede elétrica da Ucrânia foi afetada por outro ataque cibernético que deixou parte de sua capital, Kiev, sem fornecimento de energia elétrica por uma hora. Desta vez, o malware utilizado foi chamado de Industroyer. Esta ameaça é capaz de controlar interruptores de subestações elétricas utilizando protocolos de comunicação industrial implementados em infraestruturas de fornecimento de energia, sistemas de controle de transporte e outros sistemas de infraestruturas críticas, como água e gás.

Nos anos seguintes, as ferramentas utilizadas para atacar setores como energia e finanças continuaram em transformação, e, em 2017, chegou o NotPetya. Um perturbador e falso ransomware que exibia uma mensagem de resgate, mas sua real intenção não era ganhar dinheiro, mas incomodar e gerar o caos. E a realidade é que a ameaça foi bem sucedida, pois paralisou toda a Ucrânia: as pessoas não podiam pagar nos caixas de supermercado ou comprar gasolina nos postos de abastecimento. Como se tudo isso não fosse o suficiente, algumas horas depois, seu potencial destrutivo começou a se espalhar globalmente. Isto foi possível porque o NotPetya se propagou como um verme utilizando o exploits EternalBlue (o mesmo utilizado pelo ransomware WannaCry), tornando-se uma ameaça global.

Ataques a infraestruturas críticas na atualidade: as consequências do conflito geopolítico entre a Rússia e a Ucrânia

Em 24 de fevereiro de 2022, teve início a guerra entre a Rússia e a Ucrânia. Entretanto, no dia anterior, poucas horas antes da invasão russa à Ucrânia, foi possível detectar uma atividade ofensiva na esfera digital. A ESET e outras empresas de cibersegurança detectaram a atividade de um malware do tipo wiper chamado HermeticWiper em várias organizações de alto perfil na Ucrânia. O principal objetivo deste código malicioso era apagar os dados das organizações alvo. Devido a este objetivo, o wiper passou a ser  descrito como "destrutivo".

Centenas de computadores na Ucrânia foram atacados pelo HermeticWiper poucas horas depois que uma onda de ataques DDoS deixou vários sites de organizações ucranianas  fora do ar. O HermeticWiper foi identificado em pouco mais de cem computadores de pelo menos cinco organizações e o objetivo era tornar os sistemas inoperantes, corrompendo os dados e impedindo a inicialização do sistema, fazendo com que qualquer serviço público afetado se tornasse inacessível.

Em um nível técnico, o HermeticWiper substitui o registro de inicialização principal (MBR, pela sigla em inglês), a tabela de arquivos principais, os arquivos que contém as chaves de registro e apaga vários outros locais no disco com bytes aleatórios. A ameaça também desativa as cópias automáticas para impedir os esforços de recuperação de defesas. O timestamp do executável sugere que ele foi compilado em 28 de dezembro de 2021, portanto, o malware foi preparado com vários meses de antecedência.

Algumas semanas depois, em 14 de março, a telemetria da ESET identificou a propagação de um terceiro wiper (em apenas três semanas) chamado CaddyWiper em mais ou menos uma dúzia de sistemas em um número limitado de organizações do setor financeiro ucraniano. Uma análise mais detalhada do malware sugere que o CaddyWiper foi compilado no mesmo dia em que foi implantado nas redes que atacou.

A propagação do CaddyWiper foi implementada através de políticas de grupo, sugerindo que os cibercriminosos tinham controle prévio das redes que eram alvo, algo que normalmente acontece em ataques direcionado. Tecnicamente, este wiper se aproveitar dos drivers legítimos do software de particionamento de disco.

Em 8 de abril, o CERT da Ucrânia (CERT-UA) respondeu a um incidente cibernético que afetou um fornecedor de energia que foi atacado com um pedaço de malware. A análise do malware revelou que a ameaça era uma nova versão do Industroyer, chamada de Industroyer 2, já que compartilha semelhanças de código com a primeira versão. Lembre-se que, como mencionado acima, o Industroyer foi o malware que causou um blackout em 2016 na capital ucraniana após um ataque a uma rede elétrica.

No ataque realizado em abril de 2022, o Industroyer2 tentou implantar adicionalmente outros wipers para ampliar o impacto da interrupção e, por sua vez, remover os vestígios deixados pela ameaça para dificultar a investigação sobre o incidente.

Voltando ao uso de malware por cibercriminosos para fins perturbadores, é importante destacar o papel de alguns grupos de cibercriminosos, como o Sandworm, que tem sido vinculado à Rússia, e que tem uma longa história de ataque à infraestruturas críticas - especialmente na Ucrânia – sendo responsável pelos ataques provocados pelo BlackEnergy, Telebots, NotPetya, Industroyer, e até mesmo ataques direcionados à Ucrânia, com ameaças como Industroyer 2, CaddyWiper, ou RansomBoggs, entre outras.

Ataques a infraestruturas críticas na América Latina?

De acordo com os dados telemétricos da ESET e os trabalhos de pesquisa e investigação, ainda não foram identificados na América Latina ataques a infraestruturas críticas que tenham como objetivo principal a desestabilização. Entretanto, isto não significa que as empresas que administram serviços críticos não sejam alvos de ataques cibernéticos ou não tenham sofrido um incidente de cibersegurança.

De fato, as empresas do setor público e aquelas pertencentes a setores críticos também foram afetadas principalmente por ataques relacionados com ciberespionagem, ransomware e vazamento de dados (vale destacar que a definição de órgãos governamentais se enquadra em qualquer instituição criada para uma função específica e administrada pelo Estado).

No momento em que escrevo este artigo, em dezembro de 2022, o conflito geopolítico ainda está em curso e as consequências colaterais desta guerra para o resto dos países ainda são difíceis de prever, mas obrigam as organizações e os governos a estarem preparados para possíveis cenários que possam surgir. Como, por exemplo, os ataques de retaliação por decisões econômicas ou de outras naturezas contra um dos países envolvidos no conflito.

Campanhas de ciberespionagem contra órgãos governamentais na América Latina

O laboratório de pesquisa e investigação da ESET está constantemente descobrindo e analisando novas campanhas de ciberespionagem ao redor do mundo, incluindo algumas que têm como alvo órgãos governamentais na América Latina. Em muitos desses ataques, os cibercriminosos tentam implantar programas maliciosos que procuram permanecer sem serem detectados pelo máximo de tempo possível, a fim de executar várias ações criminosas comandadas remotamente pelos cibercriminosos. Por exemplo, roubar informações de interesse ou interromper as operações através do download de um malware adicional, como por exemplo, um ransomware.

Entre os exemplos mais recentes na América Latina, podemos citar duas campanhas: Operação Discórdia e Polvo Vermelho. A primeiro ocorreu no início de 2022 e os cibercriminosos infectaram os sistemas de empresas e órgãos governamentais na Colômbia com o njRAT - um trojan bancário de acesso remoto. Este malware é capaz de obter informações sensíveis sobre a máquina da vítima através de capturas de tela, digitação de teclas ou gravação de áudio e vídeo. Todas estas informações coletadas pelo malware são enviadas para servidores controlados pelos criminosos.

No caso da operação Polvo Vermelho, esta campanha maliciosa se concentrou no Equador e teve como alvo órgãos governamentais, instituições de saúde e empresas privadas em vários setores. O malware utilizado foi o Remcos, outro trojan de acesso remoto que permite aos cibercriminosos executar remotamente várias ações maliciosas em computadores infectados.

As campanhas de ciberespionagem operam na forma de ataques direcionados e utilizam ferramentas maliciosas para obter informações sensíveis, impactando órgãos públicos e, consequentemente, governos.

Ataques de ransomware a governos e infraestruturas críticas

Atualmente, nenhum setor ou indústria está isento de ciberataques de qualquer tipo, não apenas de ciberespionagem. Assim como o setor privado é frequentemente um alvo comum de ataques de ransomwares, o setor público também pode ser. A partir de 2019, ataques de ransomware a órgãos governamentais foram reportados em vários países do mundo.

Após os ataques de ransomware que afetaram a infraestruturas críticas em 2021, como o da maior rede de oleoduto dos EUA, a Colonial Pipeline, que levou à interrupção do fornecimento de combustível ou o ataque da cadeia de suprimentos que ocorreu com a Kaseya, um serviço usado para gerenciar a infraestrutura tecnológica de empresas que provocou a infecção com o ransomware REvil de milhares de empresas em todo o mundo, observou-se que em 2021 e 2022 houve uma tendência no aumento de ataques de ransomware a órgãos governamentais, especialmente na América Latina.

Um dos principais exemplos foi a onda de ataques de ransomware que afetou 27 órgãos públicos na Costa Rica e levou à interrupção das importações e serviços oferecidos aos cidadãos. A magnitude dos ataques levou o governo a declarar um estado de emergência nacional. Mas além do que aconteceu com o país centro-americano, órgãos governamentais em muitos outros países latino-americanos foram vítimas de ransomwares em 2022, com tudo o que isso implica: o risco de interrupção de serviços críticos, a exposição de informações pessoais dos cidadãos, ou mesmo o aumento da possibilidade de sofrer um novo ataque.

Mas além desses ataques de ransomware e das campanhas de espionagem mencionadas acima, os órgãos públicos são alvos interessantes para cibercriminosos nem tão sofisticados ou menos pretensiosos. No início de 2022, cibercriminosos colocaram à venda em fóruns na dark web 1.753.658 dados de login para mais de 49 mil sites pertencentes a órgãos públicos que estavam infectados com malwares. Em outros casos, o acesso às redes internas também estavam sendo colocados à venda. Tudo isso mostra que o setor público é de interesse para todos os tipos de criminosos, mesmo para aqueles com pouca experiência.

Cibersegurança, um asunto de segurança nacional

Ano após ano vemos como os cibercriminosos procuram evoluir e tentam melhorar suas técnicas e ferramentas para lançar campanhas maliciosas com objetivos muito diferentes, tais como gerar desestabilização, obter ganhos financeiros ou coletar informações sensíveis que podem ser utilizadas de diferentes maneiras. Estes ataques não afetam apenas usuários ou empresas, mas também governos e até mesmo setores críticos.

Algumas das principais razões pelas quais órgãos governamentais e setores críticos são alvo interessantes para os cibercriminosos estão relacionadas com a continuidade dos serviços que prestam e ao impacto de tal ataque, à sensibilidade e importância das informações que operam, à possível falta de investimento em segurança ou à provável falta de treinamento.

Espera-se que esta tendência continue a curto e médio prazo, e até agora ficou claro não apenas que os governos são alvos frequentes, mas também que eles não são imunes aos cibercriminosos. Tudo isso, juntamente com o conflito geopolítico, seus resultados, e também as consequências para o resto do mundo, tornou mais relevante a preocupação com esses tipos de ataques e levou a cibersegurança a se tornar um tópico de interesse e relevância nacional.

Infelizmente, a probabilidade e o impacto dos ciberataques sobre os órgãos governamentais associados a infraestruturas críticas está crescendo diariamente e provavelmente isso continuará ocorrendo no futuro próximo. Por estas razões, os governos não devem descartar ou minimizar os riscos de ciberataques e devem considerar uma variedade de propósitos. Todas estas condições nos obrigam a estar cada vez mais preparados para um risco real, latente e iminente.