Attack on the Ukrainian Power Grid

TLP: White
 Analysis of the Cyber

Attack on the Ukrainian Power Grid

TLP: branco
Análise do Cyber
Ataque à rede elétrica ucraniana
Caso de uso de defesa

Caso de Uso de Defesa 18 de março de 2016

1
 Attack on the Ukrainian Power Grid

Prefácio ......................................................................................................................................... 3
Resumo de incidentes ................................................................................................................... 4
Resumo de informações e relatórios ............................................................................................ 5
fundo ......................................................................................................................................... 5
Mantendo a perspectiva ........................................................................................................... 5
Táticas de Atacante Descrição de Técnicas e Procedimentos ...................................................... 6
Capacidade................................................................................................................................ 6
Mapeamento da cadeia de mortes cibernéticas do ICS.............................................................. 10
Mapeamento da Cadeia de Ciber-Morte do ICS - Estágio 1 (p. 5) .......................................... 10
Especulação ............................................................................................................................ 12
Mapeamento da Cadeia de Ciber-Morte do ICS - Estágio 2 ................................................... 13
Lições de Defesa Aprendidas - Defesas Passivas e Ativas (p. 11)................................................ 15
Spear Phishing ............................................................................................................................. 15
Ataque à Ucrânia .................................................................................................................... 15
O próximo ataque (p. 12) ........................................................................................................ 15
Oportunidades para interromper ........................................................................................... 16
Ataque à Ucrânia .................................................................................................................... 16
O próximo ataque ................................................................................................................... 17
Oportunidades para interromper ........................................................................................... 17
Exfiltração de dados .................................................................................................................... 17
Ataque à Ucrânia (p. 12) ......................................................................................................... 17
O próximo ataque (p. 13) ........................................................................................................ 17
Acesso VPN (p. 13) ...................................................................................................................... 18
Ataque à Ucrânia .................................................................................................................... 18
Acesso Remoto da Estação de Trabalho ..................................................................................... 19
Ataque à Ucrânia .................................................................................................................... 19
O próximo ataque ................................................................................................................... 19
Oportunidades para interromper ........................................................................................... 19
Controlar e operar ....................................................................................................................... 19
Ataque à Ucrânia .................................................................................................................... 19
O próximo ataque ................................................................................................................... 20
Oportunidades para interromper (p. 14) ................................................................................ 20
Ferramentas e impactos tecnológicos (p. 15) ............................................................................. 21
Ataque à Ucrânia .................................................................................................................... 21
Oportunidades para interromper ........................................................................................... 21
Responder e restaurar ................................................................................................................ 22
Ataque à Ucrânia .................................................................................................................... 22
O próximo ataque ................................................................................................................... 22
Oportunidades para interromper / restaurar ......................................................................... 22
Implicações e Conclusão ............................................................................................................. 24
Implicações para defensores .................................................................................................. 24
Conclusão .................................................................................................................................... 25
Tema 1 .................................................................................................................................... 25
Tema 2 .................................................................................................................................... 25
Tema 3 .................................................................................................................................... 25
Tema 4 .................................................................................................................................... 26
Tema 5 (p. 21) ......................................................................................................................... 26
Apêndice Avaliação de Informações ........................................................................................... 27
Credibilidade: 538 ................................................................................................................... 27

2
 Attack on the Ukrainian Power Grid

Prefácio
Resumo dos incidentes
Táticas de Atacante Descrição de Técnicas e Procedimentos
Mapeamento da cadeia de mortes cibernéticas do ICS
Lições de Defesa Aprendidas - Defesas Passivas e Ativas
Recomendações
Implicações e Conclusão.
Apêndice Informação Avaliação

PREFÁCIO
Análise do ataque cibernético na rede elétrica ucraniana
Esta é uma análise de uma equipe conjunta para fornecer um recurso da
comunidade de lições aprendidas do ataque cibernético à rede elétrica
ucraniana. O documento está sendo lançado como Traffic Light Protocol:
White (TLP: Branco) e pode ser distribuído sem restrições, sujeito a
controles de direitos autorais. Este documento, o Caso de Uso de Defesa
(DUC), resume pontos de aprendizagem importantes e apresenta várias
ideias de mitigação baseadas em informações publicamente disponíveis
sobre incidentes ICS na Ucrânia. O E-ISAC e o SANS estão fornecendo um
resumo das informações disponíveis compiladas de várias fontes disponíveis
publicamente, bem como a análise realizada pela equipe da SANS em
relação a esse evento.1 Este documento fornece conceitos específicos de
atenuação para o Controle de Supervisão e Aquisição de Dados do sistema
de energia (SCADA), bem como uma oportunidade geral de aprendizagem
para os defensores do ICS.
Autores, trabalhando com o E-ISAC:
Robert M. Lee, SANS Michael J. Assante, SANS Tim Conway, SANS

3
 Attack on the Ukrainian Power Grid

RESUMO DE INCIDENTES
Em 23 de dezembro de 2015, a ucraniana Kyivoblenergo, uma empresa
regional de distribuição de eletricidade, reportou falhas de serviço aos
clientes. As interrupções foram causadas pela entrada ilegal de terceiros no
computador da empresa e nos sistemas SCADA: a partir de
aproximadamente 15h35. No horário local, sete subestações de 110 kV e
23 de 35 kV foram desconectadas por três horas. Declarações posteriores
indicaram que o ataque cibernético impactou partes adicionais da rede de
distribuição e forçou os operadores a mudar para o modo manual.2, 3 O
evento foi elaborado pela mídia ucraniana, que conduziu entrevistas e
determinou que um atacante estrangeiro controlasse remotamente o
SCADA. sistema de gerenciamento de distribuição.4 Originalmente,
pensava-se que as interrupções afetaram aproximadamente 80.000 clientes,
com base na atualização do Kyivoblenergo para os clientes. No entanto, mais
tarde, foi revelado que três diferentes oblenergos de distribuição (um termo
usado para descrever uma empresa de energia) foram atacados, resultando
em várias interrupções que causaram a perda de energia de
aproximadamente 225.000 clientes em várias áreas.5, 6
Logo após o ataque, funcionários do governo ucraniano alegaram que as
interrupções foram causadas por um ataque cibernético e que os serviços de
segurança russos foram responsáveis pelos incidentes.7 Após essas
alegações, investigadores na Ucrânia, bem como empresas privadas e o
governo dos EUA realizaram análises. e ofereceram assistência para
determinar a causa raiz da interrupção.8 Tanto a equipe do E-ISAC quanto
do SANS ICS estiveram envolvidas em vários esforços e análises em relação
a esse caso desde 25 de dezembro de 2015, trabalhando com membros e
organizações confiáveis na comunidade.
Este relatório conjunto consolida as informações de código aberto,
esclarecendo detalhes importantes em torno do ataque, oferecendo lições
aprendidas e recomendando abordagens para ajudar a comunidade do ICS a
repelir ataques semelhantes. Este relatório não se concentra na atribuição do
ataque.

4
 Attack on the Ukrainian Power Grid

RESUMO DE INFORMAÇÕES E RELATÓRIOS

fundo
Em 24 de dezembro de 2015, a TSN (uma agência de notícias ucraniana)
divulgou o relatório “Devido a uma invasão de hackers, metade da região de
Ivano-Frankivsk é desativada.” 9 Inúmeras agências de reportagem e
blogueiros independentes do Washington Post, SANS Institute, O New York
Times, a ARS Technica, a BBC, a Wired, a CNN, a Fox News e o Relatório
E-ISAC acompanharam o relatório inicial da TSN.10 Esses relatórios
subsequentes forneceram coletivamente detalhes de um ataque cibernético
direcionado ao sistema elétrico ucraniano. O Departamento de Segurança
Interna dos EUA (DHS) emitiu um relatório formal em 25 de fevereiro de
2016, intitulado IR-ALERT-H-16-056-01.11 Com base no relatório do DHS,
três oblenergos ucranianos sofreram ataques cibernéticos coordenados que
foram executados em 30 minutos de cada um. O ataque impactou 225.000
clientes e exigiu que os oblenergos passassem para operações manuais em
resposta ao ataque.
Os oblenergos foram supostamente capazes de restaurar o serviço
rapidamente após uma janela de inatividade que durou várias horas.12 O
relatório do DHS afirma que, enquanto o serviço elétrico foi restaurado, os
oblenergos impactados continuam a operar seus sistemas de distribuição em
um modo operacionalmente restrito. Dentro do sistema elétrico ucraniano,
esses ataques foram direcionados ao nível de distribuição regional, como
mostrado na Figura 1.

Veja o Apêndice para uma avaliação da credibilidade e quantidade de

informações técnicas que estão publicamente disponíveis.

Mantendo a perspectiva
Os ataques cibernéticos na Ucrânia são os primeiros incidentes
publicamente reconhecidos a resultar em cortes de energia. Como futuros
ataques podem ocorrer, é importante avaliar os impactos do incidente. As
interrupções de energia devem ser medidas em escala (número de clientes e
quantidade de infraestrutura de eletricidade envolvida) e em duração até a
restauração completa. Os incidentes ucranianos afetaram até 225.000
clientes em três diferentes territórios de serviço em nível de distribuição e
duraram várias horas. Esses incidentes devem ser classificados em escala
macro como baixos em termos de impactos no sistema de energia, já que a
interrupção afetou um número muito pequeno de consumidores de energia
na Ucrânia e a duração foi limitada. Em contraste, é provável que as
empresas afetadas classifiquem esses incidentes como altos ou críticos
para a confiabilidade de seus sistemas e operações comerciais.

5
 Attack on the Ukrainian Power Grid

TÁTICAS DE ATACANTE DESCRIÇÃO DE TÉCNICAS E

PROCEDIMENTOS
A atribuição direta é desnecessária para aprender com esse ataque e
considerar estratégias de mitigação; só é necessário usar o modelo mental de
como o ator cibernético trabalha para entender as capacidades e o perfil geral
contra o qual se está defendendo. O motivo e a sofisticação desse ataque à
rede elétrica são consistentes com um ator altamente estruturado e com
recursos. Este ator foi co-adaptativo e demonstrou táticas e técnicas variadas
para combinar com as defesas e o ambiente dos três alvos afetados. A seção
de mitigação deste documento fornece conceitos de mitigação relacionados
ao ataque e como desenvolver uma estratégia de mitigação mais duradoura
antecipando futuros ataques.

Capacidade
Os atacantes demonstraram uma variedade de recursos, incluindo e-
mails de spear phishing1, variantes do malware BlackEnergy 3 e a
manipulação de documentos do Microsoft Office que continham o malware
para se firmarem nas redes de tecnologia da informação (TI) das empresas
de eletricidade.213 demonstrou a capacidade de ganhar credenciais e
informações para obter acesso à rede ICS. Além disso, os invasores
demonstraram experiência, não apenas em infra-estrutura conectada em
rede; como Uninterruptable Power Supplies (UPSs), mas também na
operação dos ICSs através do sistema de controle de supervisão; como a
Interface Homem-Máquina (IHM), como mostrado na Figura 2.

1
Phishing é o empréstimo que designa as tentativas de obtenção de informação pessoalmente
identificável através de uma suplantação de identidade por parte de criminosos em
contextos informáticos (engenharia social).[1][2] A palavra é um neologismo criado a partir
do inglês fishing (pesca) devido à semelhança entre as duas técnicas, servindo-se de um isco para apanhar
uma vítima. Em 2014, estimava-se que o seu impacto económico mundial fosse de 5 mil milhões de
dólares.[3]
É normalmente levado a cabo através da falsificação de comunicação eletrónica — spoofing — de
correio[4] ou mensagens,[5] dirigindo o utilizador para um sítio semelhante ao original e incitando-o a
preencher campos onde detalhe dados como nomes de utilizador, chaves de acesso ou detalhes
bancários. Estas tentativas fingem ter como origem portais sociais, instituições bancárias ou
administradores de sistemas e podem conter ligações a sítios infetados por ameaças. Para além disto, pode
servir para a instalação de software malicioso no sistema da vítima, podendo servir de plataforma
para outro tipo de ataques, como por exemplo as ameaças persistentes avançadas.
2
Para uma discussão sobre a história do malware BlackEnergy 3 e da equipe Sandworm, veja o webcast
do SANS ICS com iSight aqui:
https://www.sans.org/webcasts/analysis-sandworm-team-ukraine-101597

6
 Attack on the Ukrainian Power Grid

Figura 2: Controle e operação: técnicas de seqüestro do SCADA

Finalmente, os adversários demonstraram a capacidade e a disposição de
direcionar dispositivos de campo para subestações, escrever firmware
malicioso e tornar os dispositivos, como conversores serial-para-ethernet,
inoperantes e irrecuperável.14 Em um caso, os invasores também usaram
sistemas telefônicos para gerar milhares de chamadas para o call center da
empresa de energia, a fim de negar acesso a clientes que relatavam
interrupções. No entanto, a capacidade mais forte dos invasores não estava
na escolha de ferramentas ou em seus conhecimentos, mas na capacidade de
executar operações de reconhecimento de longo prazo necessárias para
aprender o ambiente e executar um ataque altamente sincronizado, em vários
estágios e em vários sites.
Segue-se uma lista consolidada dos componentes técnicos utilizados
pelos atacantes, representados graficamente na Figura 3:
Spear phishing para obter acesso às redes de negócios dos oblenergos
Identificação de BlackEnergy 3 em cada um dos oblenergos
impactados
Roubo de credenciais das redes de negócios
O uso de redes privadas virtuais (VPNs) para entrar na rede ICS
O uso de ferramentas de acesso remoto existentes no ambiente ou a
emissão de comandos diretamente de uma estação remota semelhante a uma
IHM do operador
Dispositivos de comunicação serial para ethernet afetados em um nível
de firmware15
O uso de um KillDisk modificado para apagar também o registro
mestre de inicialização dos sistemas da organização afetados
como a exclusão de alguns logs16
Utilizando sistemas UPS para impactar a carga conectada com uma
interrupção de serviço agendada
Ataque de negação de serviço por telefone no call center

7
 Attack on the Ukrainian Power Grid

Figura 3: Componentes Técnicos Consolidados da Ucrânia Attack

Em vários pontos do relatório público sobre o ataque, as organizações
indicaram que o BlackEnergy 3 e o próprio KillDisk poderiam ser
diretamente responsáveis pela interrupção. Um dos itens especificamente
destacados para apoiar Essa teoria era de que o KillDisk excluía um processo
em sistemas Windows vinculados a comunicações serial-para-ethernet.17
Independentemente do impacto do ambiente de rede SCADA, nem o
BlackEnergy 3 nem o KillDisk continham os componentes necessários para
causar a interrupção. As interrupções foram causadas pelo uso dos sistemas
de controle e seus softwares através da interação direta do adversário. Todas
as outras ferramentas e tecnologias, como BlackEnergy 3 e KillDisk, foram
usadas para permitir os esforços de restauração de ataque ou atraso.
Oportunidades
Múltiplas oportunidades existiam para o adversário executar seu ataque.
Externa aos oblenergos e antes do ataque, havia uma variedade de
informações de código aberto disponíveis; incluindo uma lista detalhada de
tipos de infra-estrutura, como fornecedores de Unidades de Terminais
Remotos (RTU) e versões publicadas on-line por fornecedores do ICS.18 As
VPNs no ICS da rede comercial parecem não ter autenticação de dois fatores.
Além disso, o firewall permitiu que o adversário remova o administrador do
ambiente, utilizando um recurso de acesso remoto nativo aos sistemas. Além
disso, com base nos relatórios da mídia, não parece haver qualquer
capacidade residente de monitorar continuamente a rede ICS e procurar
anormalidades e ameaças por meio de medidas de defesa ativas; como
monitoramento de segurança de rede. Essas vulnerabilidades teriam
proporcionado ao adversário a oportunidade de persistir dentro do ambiente
por seis meses ou mais para conduzir o reconhecimento do ambiente e
subsequentemente executar o ataque.19
Com base nos detalhes fornecidos no relatório do DHS, o adversário
usou uma abordagem de ataque consistente em todos os três alvos afetados.
O adversário também usou táticas consistentes para impactar elementos
controláveis de campo e danificar de forma irreparável os dispositivos de
campo.
Por que esses oblenergos foram direcionados permanece um debate
aberto. Com base nos relatórios públicos, não se sabe se os alvos foram
selecionados com base em tecnologias comuns em uso, arquiteturas de
sistema, operações de reconhecimento ou territórios de serviço. As
considerações baseadas em oportunidades para selecionar um alvo
específico podem se concentrar na confiança e na capacidade de um invasor
de causar um efeito do ICS. Alguns exemplos de fatores de decisão podem
incluir:
Metas com sistemas e configurações comuns
Vários sistemas com pontos de controle centralizados comuns

8
 Attack on the Ukrainian Power Grid

estimativas de duração do impacto do ICS (por exemplo, a longo prazo

ou a curto prazo)
Capacidades existentes necessárias para alcançar os resultados
desejados
Nível de risco de executar a operação e ser descoberto
Alcançou o acesso e a capacidade de agir e agir dentro do ambiente

9
 Attack on the Ukrainian Power Grid

MAPEAMENTO DA CADEIA DE MORTES CIBERNÉTICAS DO ICS

O ICS Cyber Kill Chain foi publicado pela SANS em 2015 por Michael
Assante e Robert M. Lee como uma adaptação da cadeia de cyber kill
tradicional desenvolvida pelos analistas da Lockheed Martin conforme
aplicada aos ICSs.20 A cadeia de ciber-ciberespaço do ICS detalha as etapas
de um adversário deve seguir para realizar um ataque de alta confiança no
processo ICS e / ou causar danos físicos ao equipamento de uma maneira
previsível e controlável, conforme exibido na Figura 4.

Figura 4: A cadeia do Cyber Kill do ICS com o estágio 1 em destaque

O ataque à rede elétrica ucraniana seguiu o ICS Cyber Kill Chain

completamente durante os Estágios 1 e 2. O ataque ganhou acesso a cada
nível do ICS, como mostrado na Figura 5, com o ICS Cyber Kill Chain
plotado ao lado de uma segmentação / hierarquia modelo (por exemplo,
Modelo de Purdue modificado). A conclusão da Fase 1 implica uma intrusão
cibernética ou violação bem-sucedida em um sistema ICS, mas não é
caracterizada como um ataque ICS. A conclusão da Fase 2 completou o ICS
Kill Chain, resultando em um ataque cibernético de sucesso que levou a um
impacto nas operações do ICS. A próxima seção inclui uma discussão dos
dois estágios usando informações atualmente disponíveis do ataque.

Mapeamento da Cadeia de Ciber-Morte do ICS - Estágio 1 (p. 5)

O primeiro passo no Estágio 1 é Reconhecimento. Não houve relatos de
reconhecimento observado tendo ocorrido antes de direcionar as empresas
de energia. No entanto, uma análise das três organizações impactadas mostra
que elas eram alvos particularmente interessantes devido aos níveis de
automação em seu sistema de distribuição; permitindo a abertura remota de
disjuntores em várias subestações. Além disso, a segmentação e o plano de
ataque final para as empresas de eletricidade em geral foram altamente
coordenados, o que indica que o reconhecimento ocorreu em algum
momento. Era muito improvável que isso fosse um ataque oportunista.
O segundo passo é Weaponization e / ou Targeting. Segmentação
normalmente ocorreria quando nenhuma armamento é necessária; como
acessar diretamente dispositivos conectados à Internet. Nesse ataque, não
parece que o direcionamento de uma infraestrutura específica fosse
necessário para obter acesso. Em vez disso, os adversários armavam
documentos do Microsoft Office (Excel e Word) incorporando o
BlackEnergy 3 aos documentos.322 Amostras do Excel e outros documentos

3 Documentos do Office foram entregues

10
 Attack on the Ukrainian Power Grid

do escritório foram recuperados da campanha de acesso mais ampla que

visava várias organizações na Ucrânia; incluindo documentos do Office
utilizados no ataque específico contra as três empresas de eletricidade.23, 24
Durante o estágio de intrusão cibernética de Entrega, Exploração e
Instalação, os via e-mail para indivíduos na rede administrativa ou de TI das
empresas de eletricidade. Quando esses documentos foram abertos, um pop-
up foi exibido aos usuários para incentivá-los a habilitar as macros no
documento, conforme mostrado na Figura 6.25. Permitindo que as macros
permitissem que o malware explorasse a funcionalidade Macro do Office
para instalar o BlackEnergy 3 no sistema de vítimas e não fosse exploração
de uma vulnerabilidade através do código de exploração. Não houve código
de exploração observado neste incidente. O tema de usar a funcionalidade
disponível no sistema estava presente em toda a cadeia de mortes do
adversário.
Figura 6: Uma amostra de um documento do Microsoft Office infectado
pelo BlackEnergy 326
Na etapa de instalação, o malware BlackEnergy 3 conectou-se a
endereços IP de comando e controle (C2) para permitir a comunicação do
adversário com o malware e os sistemas infectados. Esses caminhos
permitiram que o adversário coletasse informações do ambiente e permitisse
o acesso. Os agressores parecem ter obtido acesso mais de seis meses antes
de 23 de dezembro de 2015, quando ocorreu a queda de energia.27 Uma de
suas primeiras ações aconteceu quando a rede coletou credenciais, escalou
privilégios e se moveu lateralmente por todo o ambiente (por exemplo, ,
infra-estrutura de serviço de diretório de destino para manipular diretamente
e controlar o sistema de autenticação e autorização). Nesse ponto, o
adversário concluiu todas as ações para estabelecer acesso persistente aos
alvos. Embora os pontos de apoio iniciais tenham sido usados para coletar

21 Observe que as arquiteturas exatas dos utilitários afetados não estão

representadas na figura. O Purdue Model é uma maneira padrão de visualizar
diferentes zonas de um ICS bem construído.
22 https://securelist.com/blog/research/73440/blackenergy-apt-attacks-
in-ukraine-employ-spearphishing-with-word-documents/
23 https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-281-01B
24 Aqueles que procuram indicadores de compromisso para os
servidores de documentos, comandos e controle de palavras, e o malware
devem procurar os relatórios privados E-ISAC, ICS-CERT e iSight, bem
como relatórios públicos da Kaspersky Labs, ESET e referência do CYS
Centrum : https://cys-centrum.com/ru/news/black energy 2 3 e
https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-
ukine- employ-spearphishing-with- word-documents /

11
 Attack on the Ukrainian Power Grid

credenciais legítimas para a transferência sistemática de sistemas de TI e

conexões remotas, é provável que os invasores tenham se afastado
rapidamente de seus pontos iniciais e C2s vulneráveis em um esforço para
se misturar aos sistemas do alvo como usuários autorizados . Com essas
informações, os invasores seriam capazes de identificar conexões VPN e
caminhos da rede comercial para a rede ICS. O uso de conexões e comandos
nativos permite que os invasores descubram o restante dos sistemas e
extraiam os dados necessários para formular um plano para o Estágio 2.

Especulação
Não havia informações disponíveis publicamente suficientes para
determinar o quão diversificado era o ataque do adversário para incluir
quantos tipos diferentes de dispositivos foram afetados no nível do firmware.
No entanto, através de informações disponíveis publicamente sobre as redes
ucranianas, bem como o conhecimento de sistemas similares de distribuição
elétrica, é provável que houvesse um ambiente diversificado de hardware e
software.
Suspeita-se que as redes administrativas e ICS continham várias versões
do sistema operacional, como o Windows XP e o Windows 7, vários tipos
de RTUs e gateways e vários switches industriais.

Usando as credenciais roubadas, o adversário conseguiu entrar nos

segmentos de rede onde existiam estações de trabalho e servidores do
SCADA. Após a entrada na rede, as ações dos adversários eram consistentes
no tema, mas diferentes nas minúcias técnicas entre os três obstáculos
atingidos. Em pelo menos um dos oblenergos, os atacantes descobriram uma
rede conectada a um no-break e a reconfiguraram para que, quando o
atacante causasse uma queda de energia, fosse seguida por um evento que
também impactaria a energia nos prédios ou data centers da empresa de
energia. / armários.
Não há informações suficientes disponíveis para identificar se alguma
informação foi exfiltrada do ambiente, mas o adversário demonstrou uma
capacidade na Fase 2 que indica que a descoberta interna foi realizada. Esse
reconhecimento teria que incluir a descoberta de dispositivos de campo,
como os dispositivos serial-para-ethernet usados para interpretar comandos
da rede SCADA para os sistemas de controle da subestação.
Além disso, os três oblenergos usavam diferentes sistemas de
gerenciamento de distribuição (DMSs), e os invasores precisariam realizar
algum reconhecimento de rede contra esses sistemas e encontrar alvos
específicos para executar seu ataque altamente coordenado.28

12
 Attack on the Ukrainian Power Grid

Mapeamento da Cadeia de Ciber-Morte do ICS - Estágio 2

Na maioria dos casos, a fase de desenvolvimento ocorre nas redes do
adversário, limitando assim qualquer informação forense disponível, mas o
ataque que segue esse estágio pode revelar muito sobre o processo
adversário. No estágio Attack Development and Tuning do estágio 2, os
atacantes executaram a etapa Develop de pelo menos duas maneiras.
Primeiro, eles aprenderam como interagir com os três ambientes DMS
distintos usando o controle nativo presente nas telas do sistema e do
operador. Em segundo lugar, e mais importante, eles desenvolveram um
firmware malicioso para os dispositivos serial-para-ethernet.
As informações disponíveis atualmente indicam que o firmware mal-
intencionado era consistente entre os dispositivos e era carregado em curtos
períodos um do outro para vários sites. Portanto, os uploads maliciosos de
firmware provavelmente foram desenvolvidos antes do ataque para execução
rápida e previsível.
O E-ISAC e a equipe do SANS ICS avaliam com grande confiança que,
durante o Estágio de Validação do Estágio 2, o adversário testou seus
recursos antes de sua implantação. É possível que os adversários pudessem
executar isso com pura sorte, mas é altamente improvável e inconsistente
com o profissionalismo observado durante o restante do ataque. Os
adversários provavelmente tinham sistemas em sua organização que
puderam avaliar e testar seu firmware antes de serem executados em 23 de
dezembro.

Durante o Estágio de Ataque do ICS, os adversários usaram software

nativo para se Entregar no ambiente para interação direta com os
componentes do ICS. Eles conseguiram isso usando ferramentas de
administração remota existentes nas estações de trabalho do operador. Os
agentes de ameaça também continuaram a usar o acesso VPN no ambiente
de TI.
Na preparação final para o ataque, os adversários concluíram o estágio
Instalar / Modificar instalando software malicioso identificado como
KillDisk modificado ou personalizado em todo o ambiente. Embora seja
provável que os atacantes tenham garantido que suas modificações na UPS
estivessem prontas para o ataque, não havia provas forenses suficientes
disponíveis para provar isso. O último ato de modificação foi para os
adversários assumirem o controle das estações de trabalho do operador e,
assim, bloquear os operadores de seus sistemas. A Figura 7 mostra a análise
estática das importações da API do KillDisk após o evento.

Figura 7: Análise Estática do KillDisk Identificando Importações API31

Finalmente, para completar o ICS Cyber Kill Chain e executar o ICS
Attack, os adversários usaram as HMIs no ambiente SCADA para abrir os

13
 Attack on the Ukrainian Power Grid

disjuntores. Pelo menos 27 subestações (o número total provavelmente é

maior) foram colocadas off-line entre as três empresas de energia,
impactando cerca de 225.000 clientes.32, 33 Simultaneamente, os invasores
carregaram o firmware malicioso nos dispositivos de gateway serial-para-
ethernet. Isso garantiu que, mesmo se as estações de trabalho do operador
foram recuperadas, os comandos remotos não puderam ser emitidos para
colocar as subestações novamente on-line (caracterizamos os ataques de
firmware contra dispositivos de comunicação de campo como “soprando as
pontes”).
Durante esse mesmo período, os invasores também alavancaram uma
negação remota de serviço telefônico no call center da empresa de energia,
com milhares de chamadas para garantir que os clientes impactados não
pudessem relatar interrupções. Inicialmente, parecia que esse ataque era para
impedir que os clientes informassem os operadores de quão extensas eram
as interrupções; entretanto, na revisão da totalidade das evidências, é mais
provável que a negação de serviço tenha sido executada para frustrar os
clientes, pois eles não podiam entrar em contato com o suporte ao cliente
nem obter clareza em relação à interrupção. Todo o ataque de março de 2015
a 23 de dezembro de 2015 é representado graficamente abaixo na Figura 8.

É extremamente importante notar que nem o BlackEnergy 3, backdoors

não reportados, KillDisk, nem os uploads de firmware maliciosos foram os
responsáveis pela interrupção. Cada um foi simplesmente um componente
do ataque cibernético para fins de acesso e atraso de restauração. Por
exemplo, em alguns sistemas, o KillDisk tornava os sistemas Windows
inoperáveis manipulando ou excluindo o registro mestre de inicialização,
mas em outros sistemas ele apenas apagava registros e eventos do
sistema.34, 35 A causa real da interrupção era a manipulação do próprio ICS.
e a perda de controle devido às operações interativas diretas do adversário.
A perda de visão no sistema através da limpeza dos sistemas de rede SCADA
simplesmente atrasou os esforços de restauração.
Em resumo, o Estágio 2 consistiu nos seguintes elementos de ataque:
Suportando ataques:
o Planejar desconexões para sistemas UPS
o inundações telefônicas contra pelo menos uma linha de apoio ao cliente
oblenergos
Ataque primário: seqüestro de SCADA com operação maliciosa para
abrir disjuntores
Ataques amplificadores:
o KillDisk limpando estações de trabalho, servidores e uma placa IHM
dentro de uma RTU. o Ataques de Firmware contra dispositivos Seriais-para-
Ethernet em subestações.

14
 Attack on the Ukrainian Power Grid

LIÇÕES DE DEFESA APRENDIDAS - DEFESAS PASSIVAS E ATIVAS (P.

11)
Revisamos as estratégias de mitigação fornecidas pelo DHS ICS-CERT
Alert e consideramos como um adversário pode alterar o próximo ataque
com base na mitigação tomada por um alvo. Apoiamos muitas das
recomendações de mitigação fornecidas até o momento. No entanto, é
provável que o adversário modifique as abordagens de ataque nas campanhas
de acompanhamento e essas estratégias de mitigação podem não ser
suficientes. Na seção seguinte, discutimos as atenuações do ataque que
ocorreu para extrair lições de defesa aprendidas. Além disso, discutimos
futuras metodologias potenciais de invasores e fornecemos recomendações
que poderiam interromper as operações de adversários semelhantes. As
atenuações enfocarão recomendações para metodologias de arquitetura,
defesa passiva e defesa ativa ao longo da Escala Deslizante de Segurança
Cibernética, mostradas na Figura 9.36.

Figura 9: A Escala Deslizante da Segurança Cibernética

SPEAR PHISHING

Ataque à Ucrânia
No ataque, o adversário enviou um email direcionado com um anexo
malicioso que parecia vir de uma fonte confiável para indivíduos específicos
dentro das organizações. As recomendações iniciais de mitigação
apontariam para o treinamento de conscientização do usuário final e o teste
de phishing em andamento. Os esforços para impedir o malware sempre
recomendam a lista de permissões, que pode ser eficaz em ambientes ICS se
o fornecedor do ICS aprovar o uso. No entanto, com base nos detalhes desse
ataque, a lista branca de aplicativos teria um papel limitado na execução das
infecções iniciais de conta-gotas em segmentos de rede com estações de
trabalho infectadas (por exemplo, usuários que receberam e ativaram e-mails
infectados) onde a lista de permissões de aplicativos pode ser mais
desafiador para implementar. É importante observar que a lista branca de
aplicativos não teria impedido ou impedido os ataques ICS de segunda etapa
que afetavam os oblenergos ucranianos. Em pelo menos uma instância, o
invasor usou um cliente invasor remoto e recursos de administração remota
no nível do sistema operacional aprovados para outros componentes do
ataque.

O próximo ataque (p. 12)

O adversário pode realizar ataques subsequentes que buscam formas
alternativas de campanhas de engenharia social, como segmentar a

15
 Attack on the Ukrainian Power Grid

organização por meio de campanhas de phishing em larga escala, usar

ataques de retenção de água ou conduzir campanhas de chamadas diretas
para usuários ou para o suporte técnico. Eles também poderiam alavancar
explorações técnicas que não exigem engenharia social de pessoal.

Oportunidades para interromper

O adversário provavelmente modificará ataques para responder a
aumentos ou mudanças nas defesas do alvo. Os defensores precisam
desenvolver respostas antecipadas aos efeitos de ataque. Como os
componentes de engenharia social dos ataques direcionavam ativos
cibernéticos acessíveis por e-mail e internet, esses ativos e as redes em que
eles residem são territórios contestados não confiáveis. A comunicação com
essas áreas não confiáveis deve ser segmentada, monitorada e controlada.
Operar sob a suposição de que o ambiente é acessível pelo adversário e
garantir que as defesas apropriadas sejam implementadas para proteger as
operações e o ambiente de controle dos ativos virtuais controlados por
adversários (enquanto algumas organizações confiam inerentemente em seus
sistemas e redes de negócios, fiscalização e controle adicionais destes
sistemas é necessário). Considere o uso da tecnologia de sandboxing para
avaliar documentos e emails que chegam à rede, usando sistemas proxy para
controlar caminhos de comunicação de entrada e saída e limitar as estações
de trabalho a se comunicar apenas por meio dos dispositivos proxy,
implementando controles de acesso de saída de perímetro.
Roubo de credencial

Ataque à Ucrânia
No ataque, o adversário parece ter usado o BlackEnergy 3 para
estabelecer um ponto de apoio e utilizar os registradores de toques de tecla
para executar o roubo de credenciais. Como uma abordagem inicial de
mitigação, recomendamos que as organizações obtenham as regras do
YARA para os últimos IOCs. Ao usar a ferramenta forense YARA, as
organizações podem procurar infecções por BlackEnergy 3 e, em seguida,
utilizar ferramentas de remoção de antimalware para eliminar o malware dos
ativos infectados. Os defensores devem ter em mente o tempo que leva para
detectar um host infectado, pois o intruso já pode ter se movido dentro da
rede e garantido métodos adicionais para interagir e se comunicar com a rede
infectada. As organizações devem alterar as senhas de usuário e de usuário
compartilhado (garantir que essas etapas sejam aprovadas pelas operações e
pelo fornecedor e testadas quanto a impactos nas operações e nos controles
de segurança existentes).

16
 Attack on the Ukrainian Power Grid

O próximo ataque
Adversários com acesso persistente simplesmente usarão um Trojan de
acesso remoto diferente, uma versão atualizada do BlackEnergy 3 ou um
modo alternativo de ataques de credenciais. Para detectar e atenuar o
movimento adversário em todo o ambiente e a manipulação de contas, os
esforços de atenuação devem ser focados na segmentação de diretório (por
exemplo, Active Directory, Domínio, eDirectory e LDAP) com modelos de
confiança de unidade organizacional. Essa abordagem permitiria a detecção
antecipada e evitaria algumas abordagens básicas de invasores.

Oportunidades para interromper

Monitore o comportamento da conta do usuário, a comunicação da rede
e do sistema e a atividade em nível de diretório com foco na identificação de
anormalidades. Implemente recursos de alarme com diferentes alarmes de
nível de prioridade com base no risco dos sistemas associados aos alarmes.
É importante notar que o YARA é uma ferramenta forense e não é uma
solução de monitoramento contínuo.

EXFILTRAÇÃO DE DADOS

Ataque à Ucrânia (p. 12)

Depois que os invasores conseguiram a necessária liberdade de
movimento e ação na infraestrutura de TI, eles começaram a exfiltrar as
informações necessárias e descobriram os hosts e dispositivos para criar um
conceito de ataque para sequestrar o SCADA DMS para abrir disjuntores e
causar uma queda de energia. Eles seguiram isso com ataques destrutivos
contra estações de trabalho, servidores e dispositivos incorporados que
fornecem comunicações industriais em suas subestações de distribuição. A
recomendação de mitigação aqui é entender onde esse tipo de informação
existe dentro de sua rede de negócios e ICSs. Minimizar onde reside a
informação e controlar o acesso é uma prioridade para uma organização
dependente do ICS.

O próximo ataque (p. 13)

Os atacantes podem olhar mais profundamente na configuração e nas
configurações do ICS ou na lógica do controlador e de proteção / segurança.
Certifique-se de manter uma cópia protegida de arquivos de projeto, lógica
de controle e segurança e firmware. Também usando verificadores de
integridade de arquivos para monitorar o acesso ou amostras de arquivos
carregados para alterações.
Oportunidades para interromper
Perceba que os atacantes podem ser capazes de desenvolver abordagens
de ataque adicionais à medida que aprenderam um sistema e podem ter

17
 Attack on the Ukrainian Power Grid

roubado informações que permitem o desenvolvimento de ataques futuros

mais poderosos. Os defensores devem examinar suas capacidades de
detecção e resposta. Os tomadores de decisão devem rever seus planos de
restauração para ataques com o potencial de ir mais fundo no ICS e resultar
em equipamentos danificados. Identifique novas conexões que deixam o
ambiente e comunicações criptografadas anteriormente inéditas. O Network
Security Monitoring (NSM) é um ótimo método de defesa ativa para detectar
a exfiltração e encerrar o caminho de ataque de um adversário antes que ele
interrompa o ICS.

ACESSO VPN (P. 13)

Ataque à Ucrânia
As diretrizes de atenuação com base na abordagem do invasor usada
nesta campanha recomendam o uso da autenticação de dois fatores com
tokens do usuário para fortalecer a autenticação.
O próximo ataque
Os invasores podem começar a procurar implementações de VPN ponto
a ponto existentes em redes de terceiros confiáveis ou por meio de conexões
de funcionários de suporte remoto em que o tunelamento dividido está
ativado. A recomendação imediata de atenuação é implementar o host de
salto confiável ou os sistemas intermediários com a imposição de NAC
(Controle de Acesso à Rede). Além disso, uma abordagem de configuração
de VPN que desabilita o tunelamento dividido deve ser imposta.
Oportunidades para interromper: Os defensores são lembrados de que ter
acesso remoto por meio de uma conexão confiável é vantajoso para um
invasor. Comece perguntando por que cada caminho de comunicação
confiável existe, avalie o risco e elimine cada caminho que não tenha uma
necessidade identificada que supera o risco de ter um caminho de ataque.
Para esses caminhos de comunicação que devem permanecer, considere
implementar o acesso de tempo de uso para os usuários. Implemente a
capacidade de desconectar esses caminhos de maneira automatizada após um
período de tempo definido após o acesso concedido e um método para
desconectar manualmente, se necessário. A partir de uma perspectiva de
defesa passiva, force pontos de estrangulamento no ambiente, garantindo que
as VPNs remotas entrem no ambiente através de um acesso remoto DMZ
dedicado. Isso garante que o tráfego e as conexões possam ser monitorados
por defensores ativos usando técnicas como monitoramento de segurança de
rede para identificar anormalidades na duração das conexões, no número de
conexões e no tempo em que as conexões ocorrem.

18
 Attack on the Ukrainian Power Grid

ACESSO REMOTO DA ESTAÇÃO DE TRABALHO

Ataque à Ucrânia
Com base nos detalhes fornecidos, os adversários usaram as estações de
trabalho das organizações remotamente (enquanto o invasor estava
fisicamente remoto, logicamente eram locais para o host) para conduzir o
estágio 2 do ataque. As recomendações de atenuação se concentram em
desabilitar o acesso remoto no host e no firewall do perímetro.

O próximo ataque
Os adversários podem modificar as abordagens de ataque para carregar
ferramentas de acesso remoto adicionais, utilizar recursos de shell remotos e
encapsular as comunicações através de comunicações de firewall de
perímetro autorizadas. Em resposta a essa abordagem de ataque modificada,
os esforços de atenuação devem se concentrar nos firewalls com
reconhecimento de aplicativos baseados em host, na lista de permissões de
aplicativos e nos esforços de gerenciamento de configuração para identificar
alterações na operação de um ativo. A lista branca de aplicativos, se instalada
na HMI do operador para impedir a instalação de software de acesso remoto
não autorizado, não ajudará na prevenção de software autorizado. Além
disso, lembre-se de que os fornecedores de sistemas de controle específicos
podem não aprovar o software de lista de desbloqueio.

Oportunidades para interromper

Como um defensor se prepara para um ativo cibernético dentro de um
ambiente confiável que pode ser comprometido e controlado remotamente,
eles devem considerar abordagens para mover rapidamente para um
ambiente de operações conservador onde a capacidade de emitir sinais de
controle de ativos não confiáveis é pausada. A arquitetura apropriada ditaria
a capacidade de segmentar ou desabilitar atividades como conexões remotas
e comunicações externas desnecessárias, enquanto conduzem mecanismos
de defesa ativos; como resposta a incidentes antes de restaurar as
capacidades de controle operacional para ativos bons conhecidos.

CONTROLAR E OPERAR

Ataque à Ucrânia
Como os invasores utilizavam o IHM do operador, eles operavam vários
sites sob o controle do despachante. Abordagens de mitigação para essa ação
específica focarão na lógica de nível de aplicativo que requer confirmação
do operador ou implementam limitações de Área de Responsabilidade (AoR)
que permitem que um operador efetue determinados componentes de um

19
 Attack on the Ukrainian Power Grid

sistema. Por exemplo: Se uma entidade implementou o AoR em uma estação

de trabalho do operador que forneceu o controle east breaker e uma segunda
estação de trabalho que forneceu o controle West disjuntor, um adversário
posicionado em uma estação de trabalho seria limitado ao AoR permitido
nessa estação de trabalho específica. Alguns sistemas de fornecedores
permitem o AoR determinado pelo Nome do Usuário, AoR determinado pela
Estação de Trabalho e / ou um modelo de interseção que combina o nome de
usuário e o identificador da estação de trabalho na autorização do AoR.
Existem variações entre os sistemas de fornecedores em como a autenticação
é tratada na estação de trabalho local, no diretório ou no aplicativo.

O próximo ataque
Quando um invasor identifica uma estação de trabalho com controles de
segurança de aplicativo que limitam seus recursos, eles podem modificar seu
ataque para controlar o sistema diretamente, emitindo ou injetando
comandos de controle. As estratégias de atenuação para essa abordagem se
concentrariam na autenticação do caminho de comunicação ou na
autenticação de protocolo que exigiria que os comandos fossem emitidos de
um ativo autorizado. Monitorar as sessões de comunicação entre os hosts
pode levar à detecção e investigação precoces de comunicações suspeitas.

Oportunidades para interromper (p. 14)

A preparação para a utilização adversária de ativos cibernéticos, ou
caminhos de comunicação para controlar e operar elementos de um sistema
ICS, exige que os defensores do sistema desenvolvam uma abordagem de
resposta que elimine seções inteiras de elementos e redes de ativos
cibernéticos em um esforço para inibir o controle automatizado e ativar
operações manuais só. Conforme os adversários aprendem o ambiente, eles
podem emitir comandos de teste e interagir com o ambiente SCADA sem a
intenção de interrompê-lo. Para fins de mitigação, os defensores devem
conversar com os operadores e perguntar sobre ocorrências anormais e, de
uma perspectiva de defesa passiva, garantir que os logs sejam coletados não
apenas do host, mas também dos aplicativos SCADA. Além disso,
implemente uma arquitetura de agregação de log que replique os arquivos de
log dos ativos em um sistema de correlação de log. Por fim, os defensores
ativos devem revisar rotineiramente esses registros em conjunto com outras
atividades de monitoramento em todo o ICS para identificar anormalidades.

20
 Attack on the Ukrainian Power Grid

FERRAMENTAS E IMPACTOS TECNOLÓGICOS (P. 15)

Ataque à Ucrânia
Os invasores usaram várias abordagens para impactar as ferramentas de
comunicação, a tecnologia do operador para os esforços de restauração e a
infraestrutura das instalações essenciais para muitas atividades do operador.
Portanto, as recomendações de mitigação são variadas. Itens para focar são:
Estabelecimento de recursos de filtragem e resposta em provedores de
telecomunicações para ativação durante um ataque TDoS em andamento
Desativar o gerenciamento remoto de dispositivos de campo quando
eles não são necessários.
Desconectar os sistemas de infraestrutura de controle da construção
da rede ICS.
Considere o número de peças necessárias para que os sistemas
incorporados recuperem a comunicação ou controle / proteção necessários.
O próximo ataque
Um ataque subsequente pode progredir do consumo de recursos para
uma interrupção do caminho de comunicação mais direta que afeta os
recursos de comunicação. Para atenuar essa abordagem, os defensores
precisam estabelecer uma infra-estrutura de comunicações alternativa para
os recursos de serviços essenciais.
Depois que um invasor identificar requisitos de segurança maiores para
o gerenciamento de dispositivo de campo, ele poderá tentar estabelecer
acesso direto a um dispositivo de campo por meio de um ativo local com
conectividade ou presença física no site para manipulação direta do
firmware. As estratégias de mitigação para essa abordagem de ataque se
concentram em controles de acesso eletrônicos e físicos e no
desenvolvimento de uma capacidade de resposta rápida durante um ataque
ou incidente.

Oportunidades para interromper

Um adversário determinado pode afetar ativos remotos eletronicamente
ou fisicamente. Um defensor deve desenvolver abordagens fortes de
recuperação e restauração para substituir componentes de ativos cibernéticos
de missão crítica. Uma opção é confiar no inventário e na assistência mútua
de organizações e / ou fornecedores confiáveis. Nos casos em que os ativos
específicos não são imediatamente recuperáveis, é necessário desenvolver a
capacidade de operar o sistema maior com ilhas operacionais que podem ser
recuperadas em tempo hábil.
Os defensores devem ter acesso e visibilidade dos ICSs para poder
identificar um comportamento anormal em relação à interação do dispositivo
de campo. Por exemplo, carregar o firmware fora de um tempo de inatividade

21
 Attack on the Ukrainian Power Grid

programado deve ser rapidamente observável. As modificações de firmware

na rede causam picos no tráfego de rede que os defensores ativos devem
procurar de forma consistente. Veja na Figura 10 um exemplo de atualização
de firmware mal-intencionado para um switch de rede industrial. Mesmo
sem conhecer a linha de base da atividade normal, que os defensores devem
ter, pode ser trivial detectar atualizações de firmware nos dados da rede.

RESPONDER E RESTAURAR

Ataque à Ucrânia
Os ataques cibernéticos realizados contra três oblenergos ucranianos
foram bem planejados e altamente coordenados. Os ataques consistiram em
vários elementos principais com a ativação e suporte de segmentos de
ataque. Os invasores eram remotos e interagiam com vários locais dentro de
cada um de seus alvos para incluir instalações centrais e regionais. As
concessionárias de distribuição tradicionalmente têm escritórios centrais de
negócios e de engenharia e várias instalações de agências usadas para dar
suporte à equipe de linha, leitura de medidores, pagamento de contas e
operações de controle distribuído de supervisão. Certos tipos de ataques
cibernéticos projetados para assumir e operar maliciosamente um SCADA
DMS podem ser melhor executados de maneira distribuída no nível mais
baixo ou mais direto (de um despacho local e servidor SCADA para as
subestações que estão sendo monitoradas e controladas). Preparar-se para
um ataque multifacetado de alta velocidade não é fácil e requer uma revisão
cuidadosa do plano, testes, defesa integrada e exercícios de operações.
Ensaiando as etapas para separar ou impedir mais rapidamente o acesso
remoto, para separar com segurança os ICSs de redes conectadas ou para
conter e isolar hosts suspeitos é fundamental.

O próximo ataque
O próximo ataque pode propositalmente diferir em sua abordagem para
jogar fora ou derrotar os planos e expectativas do defensor. É fundamental
que os defensores exerçam e treinem contra diferentes cenários e estejam
cientes de que os invasores são co-adaptativos e criativos. É vital
desenvolver capacidades com flexibilidade em mente.

Oportunidades para interromper / restaurar

O pessoal de operações deve estar envolvido no planejamento da
restauração de um ataque ICS de Estágio 2 bem-sucedido. Conceitos a serem
considerados de uma perspectiva de operações elétricas e engenharia
incluem os seguintes e são representados graficamente na Figura 11:

22
 Attack on the Ukrainian Power Grid

Análise de contingência cibernética: Análise contínua e preparação do

sistema para o próximo evento.
Planejamento de falhas cibernéticas: modelagem e teste de resposta do
sistema cibernético às interrupções de rede e ativos.
Operações cibernéticas conservadoras: Eliminar intencionalmente as
mudanças planejadas e não planejadas, bem como interromper qualquer
processo potencialmente impactante.

Cyber load shed: eliminação de segmentos de rede desnecessários,

comunicações e ativos cibernéticos que não são operacionalmente
necessários.
Análise de causa raiz cibernética (RCA): análise forense de RCA para
determinar como um evento impactante ocorreu e garantir que ele esteja
contido.
Cyber Blackstart: configurações de base de recursos do Cyber e
recursos de compilação bare-metal para restaurar o sistema cibernético a um
estado de serviço crítico.
Ajuda mútua cibernética: capacidade de utilizar os centros de
compartilhamento e análise de informações (ISACs), empresas de serviços
públicos, agências de aplicação da lei e de inteligência, bem como
prestadores de serviços e fornecedores para responder a eventos de grande
escala.
Cobertura de carga cibernética: a saída de rede de pedidos
desnecessários, as comunicações e os ativos que não são necessariamente
aplicáveis.
Análise de causa raiz cibernética (RCA): análise forense de RCA para
determinar como um evento impactante ocorreu e garantiu que ele fosse
contido.
Cyber Blackstart: fontes de base de dados e recursos de computação
básica para a restauração do sistema cibernético e um estado de serviço
crítico.
Ajuda mútua cibernética: capacidade de uso de centros de análise e
análise de informação (ISACs), empresas de serviços públicos, funções de
lei de inteligência e de investimento, bem como prestadores de serviços e
prestadores de serviços para responder a eventos de grande escala.

Execute o monitoramento de segurança de rede para procurar

continuamente no ambiente de rede por anormalidades.
Planejar e treinar para planos de resposta a incidentes que incorporem
tanto a equipe de TI quanto a de OT.
Considere modelos de defesa ativos para operações de segurança,
como o ciclo ativo de defesa cibernética.

23
 Attack on the Ukrainian Power Grid

Garantir que a equipe que executa a análise tenha acesso a tecnologias,

como caixas de proteção, para analisar rapidamente os e-mails de phishing
ou arquivos ímpares e extrair indicadores de comprometimento (IOCs) para
procurar sistemas infectados.
Use ferramentas de backup e recuperação para tirar imagens digitais
de alguns sistemas no ambiente de supervisão, como IHMs e sistemas de
dados históricos, a cada 6 a 12 meses. Isso permitirá que uma linha de base
de atividade seja construída e disponibilize as imagens para verificação com
novos IOCs, como novas regras do YARA sobre ameaças emergentes.
Treinar os defensores sobre o uso de ferramentas como o YARA para
digitalizar imagens digitais e evidências coletadas do ambiente, mas não
executar as varreduras no próprio ambiente de produção.
Boa arquitetura e práticas de defesa passiva constroem um ICS
defensável; os processos de defesa ativos estabelecem um ambiente de ICS
defendido. Combater adversários humanos flexíveis e persistentes requer
defensores humanos devidamente treinados e equipados.

IMPLICAÇÕES E CONCLUSÃO

Implicações para defensores

Os ataques cibernéticos remotos contra a infraestrutura de eletricidade
da Ucrânia foram ousados e bem-sucedidos. A operação cibernética foi
altamente sincronizada e o adversário estava disposto a operar
maliciosamente um sistema SCADA para causar interrupções de energia,
seguido por ataques destrutivos para desabilitar o SCADA e as
comunicações para o campo. O elemento destrutivo é a primeira vez que o
mundo vê esse tipo de ataque contra sistemas OT na infra-estrutura crítica
de uma nação. Essa é uma escalada de ataques destrutivos do passado que
afetaram computadores e servidores de uso geral (por exemplo, Saudi
Aramco, RasGas, Sands Casino e Sony Pictures). Várias linhas foram
cruzadas na condução desses ataques, já que os alvos podem ser descritos
apenas como infra-estrutura civil. Ataques históricos, como o Stuxnet, que
incluíam a destruição de equipamentos no ambiente do AT, poderiam ser
considerados alvo cirúrgico contra um alvo militar.
Os defensores de infraestrutura devem estar prontos para enfrentar
ataques altamente direcionados e direcionados que incluam seus próprios
ICSs sendo usados contra eles, combinados com ataques amplos para negar
a infraestrutura de comunicação e o uso futuro de seus ICSs. Os elementos
analisados no ataque indicaram que havia uma sequência específica para o
uso indevido dos CIs, incluindo a prevenção do uso de defensores adicionais
dos ICSs para restaurar o sistema. Isso significa que o invasor “queimou as
pontes” por trás deles, destruindo equipamentos e limpando dispositivos para

24
 Attack on the Ukrainian Power Grid

impedir a recuperação automatizada do sistema. Os ataques destacam a

necessidade de desenvolver defesas cibernéticas ativas, planos de resposta a
incidentes capazes e bem exercidos e planos de operações resilientes para
sobreviver a um ataque sofisticado e restaurar o sistema.
Nada sobre o ataque na Ucrânia era intrinsecamente específico da
infraestrutura ucraniana. O impacto de um ataque similar pode ser diferente
em outros países, mas a metodologia de ataque, Táticas, Técnicas e
Procedimentos (TTPs) observada é empregável em infra-estruturas ao redor
do mundo.

CONCLUSÃO
Identificamos cinco temas para os defensores se concentrarem, pois
consideram o que esse ataque significa para sua organização:

Tema 1
Como defensores dos SCIs, considere a sequência de eventos levados
pelo adversário nos meses anteriores a 23 de dezembro de 2015, quando essa
operação cibernética visando a infraestrutura de eletricidade ucraniana foi
planejada e desenvolvida. A operação contou com intrusões que parecem ter
vindo de uma campanha de acesso mais ampla realizada na primavera de
2015. Em uma campanha de ataque prolongada, provavelmente há inúmeras
oportunidades para detectar e defender o sistema alvo. A cadeia de cyber kill
de dois estágios do ICS ajuda a perceber que, em um ambiente ICS, há uma
janela maior para a detecção e identificação dos tipos de ataque mais
preocupantes.

Tema 2
Os ataques cibernéticos foram realizados a poucos minutos um do outro
contra três oblenergos, resultando em quedas de energia afetando
aproximadamente 225.000 clientes por algumas horas. Embora o número
total de clientes em três territórios de serviço não corresponda a um número
significativo de clientes ou à carga na Ucrânia, pode haver significância na
seleção de destino ou cargas específicas. Um elemento crítico desse ataque
em particular foi sua natureza coordenada, afetando três entidades-alvo e a
meticulosidade da seqüência de eventos adversários para alcançar seus
objetivos. Oportunidades importantes para os defensores interromperem a
sequência de eventos do adversário foram identificadas.

Tema 3
Os ataques cibernéticos foram rotulados erroneamente como vinculados
apenas a BlackEnergy 3 e KillDisk. BlackEnergy 3 era simplesmente uma
ferramenta usado no Estágio 1 dos ataques e KillDisk foi uma ferramenta
amplificadora usada no Estágio 2 dos ataques. O malware BlackEnergy 3 foi

25
 Attack on the Ukrainian Power Grid

usado para ganhar posição inicial em uma infinidade de organizações dentro

da Ucrânia e não apenas nos três oblenergos afetados. Não se sabe se o
adversário planejou usar essa campanha de acesso para permitir sua operação
ou se alcançar o acesso foi a motivação que levou ao desenvolvimento de
um conceito para atacar o sistema de energia.
O foco excessivo no malware específico usado neste ataque coloca os
defensores em uma mentalidade na qual eles estão simplesmente aguardando
orientação sobre os componentes de ataque específicos para que possam
eliminá-los. Esse ataque poderia ter sido ativado por uma variedade de
abordagens para obter acesso e utilizar os recursos existentes em um
ambiente de destino. Independentemente do vetor de ataque inicial, as
ferramentas e o ambiente do ICS foram usados para alcançar o efeito
desejado, não o malware BlackEnergy 3.

Tema 4
O conceito de ataque tinha que ser capaz de funcionar em várias
implementações do SCADA DMS e visar elementos suscetíveis comuns,
como sobras de armazenamento para estações de trabalho e servidores do
sistema operacional baseados no Windows. Os invasores provavelmente
desenvolveram técnicas de sobregravação destrutivas de firmware após a
descoberta de sistemas embarcados acessíveis. Provavelmente, houve uma
quantidade significativa de testes adversários não observáveis realizados
antes da introdução do ataque ao meio ambiente. Muitos recursos foram
demonstrados durante todo este ataque, e todos eles fornecem lições
específicas aprendidas para os defensores tomarem medidas.

Tema 5 (p. 21)

O compartilhamento de informações é fundamental na identificação de
um ataque coordenado e no direcionamento de ações de resposta
apropriadas. Dentro da Ucrânia, uma organização com a capacidade de
permitir o compartilhamento adequado de informações e fornecer orientação
de resposta a incidentes deve ser buscada. Nos Estados Unidos e em outros
países com mecanismos estabelecidos de compartilhamento de informações,
como os ISACs (Centros de Compartilhamento e Análise de Informações),
o foco deve ser manter e melhorar as informações fornecidas pelos
proprietários e operadores de ativos. Esse aumento no compartilhamento de
dados aumentará a conscientização da situação dentro do setor, o que, por
sua vez, levará a uma detecção antecipada de ataques e facilitará a resposta
a incidentes.
De muitas maneiras, os oblenergos ucranianos e seus funcionários, bem
como os membros do governo ucraniano envolvidos merecem os parabéns.
Este ataque foi o primeiro em muitos aspectos, e a resposta ucraniana foi
impressionante em todos os aspectos considerados.

26
 Attack on the Ukrainian Power Grid

À medida que a investigação e análise de dados técnicos continua e

surgem mais informações a respeito deste ataque, os autores deste DUC
atualizarão este relatório onde apropriado, em um esforço para manter o
documento de orientação mais preciso e benéfico possível para os defensores
do ICS. O E-ISAC continuará fornecendo relatórios e orientações confiáveis
também.

APÊNDICE AVALIAÇÃO DE INFORMAÇÕES

Credibilidade: 538
As alegações do governo ucraniano de que as interrupções no território
de serviço das empresas de eletricidade alvo foram causadas por uma série
de ataques cibernéticos foram confirmadas. A reivindicação foi
originalmente recebida com ceticismo pessoal pela equipe do SANS ICS,
pois as organizações do ICS frequentemente têm problemas de
confiabilidade e culpam incorretamente mecanismos cibernéticos, como
malwares encontrados na rede, que não estão relacionados à interrupção. O
relato antecipado de incidentes é frequentemente apressado e estressante, o
que leva a afirmações imprecisas. No entanto, no caso da Ucrânia, há uma
grande quantidade de evidências disponíveis; incluindo amostras de
malware, entrevistas com operadores presentes durante o incidente e
confirmação por várias empresas privadas envolvidas no incidente. Por fim,
o governo dos EUA também confirmou os ataques devido a sua própria
investigação.
O relatório mais recente divulgado pelo DHS ICS-CERT39 cita
entrevistas diretas com “pessoal de operações e tecnologia da informação e
liderança em seis organizações ucranianas com experiência em primeira mão
do evento.” Com base nas informações fornecidas no relatório, 40 a
delegação dos EUA entrevistou e considerou informações das três
organizações impactadas, bem como de outras. O formato das entrevistas e
as discussões entre proprietários e operadores de ativos indicaram que “a
equipe não pôde analisar de forma independente as evidências técnicas do
ataque cibernético. No entanto, um número significativo de relatórios
independentes das entrevistas da equipe, bem como descobertas
documentais, corroboram os eventos ... ”41 No entanto, uma grande
quantidade de informações técnicas foi disponibilizada para a comunidade
maior, incluindo indicadores de comprometimento, amostras de malware,
informações sobre o próprio ICS e seus componentes, e algumas amostras
de logs do ambiente SCADA.42 A maioria das fontes até hoje tem confiado
nas tentativas iniciais de entidades de energia ucranianas de informar os
clientes sobre a causa da interrupção e fontes derivadas de entrevistas com

27
 Attack on the Ukrainian Power Grid

entidades impactadas. O relatório do DHS não tenta atribuir a atribuição do

atacante e nem este DUC.
Quantidade de informação técnica disponível: 443
Uma pontuação de 4 foi atribuída para as informações técnicas
disponíveis devido ao fato de que amostras de malware, impactos
observáveis de ICS, indicadores técnicos de comprometimento e entrevistas
em primeira mão estavam disponíveis. A investigação também incluiu um
grupo de trabalho conjunto entre o governo ucraniano, oblenergos
impactados e representantes do governo dos EUA a partir de 18 de janeiro
de 2016.44 Essa quantidade de informações foi suficiente para confirmar os
ataques.
No entanto, deve-se notar que pode haver falta de informações devido à
falta de visibilidade em várias partes da rede ICS. Como exemplo, o pacote
captura da rede durante o ataque e campo o registro do dispositivo não estava
disponível. Com esta informação ainda mais sobre a minúcia técnica do
ataque estaria disponível. A quantidade de informações disponíveis, bem
como a disposição dos oblenergos afetados e do governo ucraniano de
compartilhar essas informações publicamente, foi a mais vista até agora para
um ataque cibernético intencional confirmado que impactou as operações de
um ICS.
Ao considerar as informações técnicas fornecidas, os autores deste DUC
consideraram o relatório público mais amplo de interrupções de eletricidade
do cliente dentro da Ucrânia como um componente da validação e evidência
necessária para demonstrar os efeitos do agressor no sistema de eletricidade.
O alerta público oficial do DHS corrobora os relatórios anteriores e é baseado
em entrevistas e informações trocadas com as organizações afetadas.

28