Descoberto depois de atacar na Ucrânia, o CrashOverride pode
atingir qualquer sistema de energia que utilize padrões internacionais
Foi o malware CrashOverride o
responsável pelo apagão que deixou sem energia elétrica parte da área Norte de
Kiev, capital da Ucrânia, em 17 de dezembro do ano passado - um dia em que a
temperatura máxima na cidade foi um grau abaixo de zero. Descoberto por
pesquisadores de duas empresas de segurança, o malware desligou apenas uma
subestação e agora está sendo analisado inclusive pelo governo dos EUA, no
National Cybersecurity and Communications Integration Center (NCCIC). Ladislav
Zezula, pesquisador de segurança da Avast, explica nesta entrevista os perigos
trazidos por esse malware.
Como o
CrashOverride funciona?
“Depois de se
infiltrar no computador que controla o sistema de energia elétrica, o
CrashOverride envia um comando ‘desligar’ para o controlador do sistema de
energia. Isso causa em seguida um apagão. O malware também tem a capacidade de
danificar o PC controlador para além do ponto de inicialização, o que significa
que restaurá-lo para eliminar o apagão não é possível em curto prazo. Um
sistema pode ser infectado de várias maneiras, inclusive através de spear
phishing ou mesmo através de um pen drive contaminado.”
Isso se aplica
aos sistemas brasileiros?
“O malware foi
projetado para usar as normas da International Electrotechnical Commission IEC
60870-5-101, IEC 60870-5-104 e IEC 61850. Esses padrões especificam protocolos
de comunicação e de monitoramento para sistemas de energia industriais.
Qualquer sistema de energia que utilize esses padrões pode ser atacado pelo
malware, seja ele brasileiro ou não. O sucesso de um ataque usando este malware
depende de os dispositivos darem suporte a esses padrões ou não. Sem esse
suporte, o malware teria de ser adaptado e testado especificamente para
funcionar com os sistemas de energia de um fabricante em particular.”
Quais são as
consequências do ataque?
“O que já aconteceu
foi um corte de energia na Ucrânia em 17 de dezembro de 2016. A mesma
conseqüência seria esperada se este malware fosse infectar outro sistema de
energia.”
Isto pode afetar o
desenvolvimento do cibercrime em geral?
“Não, isso não afeta
o desenvolvimento do cibercrime. A tendência dominante no cibercrime é obter
dinheiro de uma forma ou de outra, seja através de ransomware, furto de
credenciais bancárias, spam, anúncios indesejados ou roubo de identidade. Este
tipo de malware não ajuda os cibercriminosos autores dele a ganharem dinheiro -
seu objetivo é prejudicar a instalação atingida. Além disso, o desenvolvimento
de malwares como esse exige o acesso aos sistemas industriais com os quais ele
deva trabalhar, e aos quais os autores de malware geralmente não têm acesso”.
Avast