Ele foi descoberto no Oriente Médio, mas os hackers por trás dele agora estão atacando empresas na América do Norte e outras partes do mundo também.
O Malware TRITON pode desativar os sistemas de segurança projetados para evitar acidentes industriais catastróficos.
Como um experiente socorrista cibernético, Julian Gutmanis já havia sido chamado muitas vezes antes para ajudar as empresas a lidar com as consequências dos ataques cibernéticos. Mas quando o consultor de segurança australiano foi convocado para uma instalação petroquímica na Arábia Saudita no verão de 2017, o que ele encontrou fez seu sangue gelar.
Os hackers haviam implantado softwares mal-intencionados, ou malware, que os deixavam assumir os sistemas instrumentados de segurança da fábrica. Esses controladores físicos e seus softwares associados são a última linha de defesa contra desastres que ameaçam a vida. Eles devem entrar em ação se detectarem condições perigosas, retornando os processos a níveis seguros ou desligando-os completamente, acionando coisas como válvulas de fechamento e mecanismos de liberação de pressão.
O malware tornou possível assumir esses sistemas remotamente. Se os intrusos tivessem desabilitado ou adulterado, e depois usado outro software para fabricar o equipamento no mau funcionamento da fábrica, as consequências poderiam ter sido catastróficas. Felizmente, uma falha no código deixou os hackers longe antes que pudessem causar algum dano. Isso desencadeou uma resposta de um sistema de segurança em junho de 2017, que paralisou a fábrica. Então, em agosto, vários outros sistemas foram acionados, causando outro desligamento.
A primeira falha foi erroneamente atribuída a uma falha mecânica; depois do segundo, os donos da usina chamaram os investigadores. Os detetives encontraram o malware, que já foi apelidado de “Triton” (ou às vezes “Trisis”) para o modelo de controlador de segurança Triconex que é o alvo, que é fabricado pela Schneider Electric, uma empresa francesa.
Na pior das hipóteses, o código poderia ter levado à liberação de gás sulfídrico tóxico ou causado explosões, colocando vidas em risco tanto nas instalações quanto na área circundante.
Gutmanis lembra que lidar com o malware na planta petroquímica, que havia sido reiniciado após o segundo incidente, foi uma experiência estressante. “Sabíamos que não poderíamos confiar na integridade dos sistemas de segurança”, diz ele. “Foi tão ruim quanto poderia.”
Ao atacar a planta, os hackers cruzaram um aterrorizante Rubicon. Esta foi a primeira vez que o mundo da segurança cibernética viu o código projetado deliberadamente para colocar vidas em risco. Sistemas instrumentados de segurança não são encontrados apenas em plantas petroquímicas; Eles também são a última linha de defesa em tudo, desde sistemas de transporte até instalações de tratamento de água e usinas nucleares.
A descoberta de Triton levanta questões sobre como os hackers conseguiram entrar nesses sistemas críticos. Também ocorre em um momento em que as instalações industriais estão incorporando conectividade em todos os tipos de equipamentos – um fenômeno conhecido como internet industrial das coisas. Essa conectividade permite que os funcionários monitorem remotamente os equipamentos e coletem dados rapidamente, para que eles possam tornar as operações mais eficientes, mas também oferece aos hackers mais alvos em potencial.
Aqueles atrás de Triton estão agora em busca de novas vítimas. A Dragos, uma empresa especializada em segurança cibernética industrial, e onde Gutmanis agora trabalha, diz que, no último ano, há evidências de que o grupo de hackers que criou o malware e o inseriu na fábrica saudita está usando algumas das mesmas tradições digitais para alvos de pesquisa em lugares fora do Oriente Médio, incluindo a América do Norte. E está criando novas tensões do código para comprometer uma gama mais ampla de sistemas instrumentados de segurança.
Alerta vermelho
A notícia da existência de Triton foi revelada em dezembro de 2017, embora a identidade do proprietário da planta tenha sido mantida em segredo. (Gutmanis e outros especialistas envolvidos na investigação inicial recusam-se a nomear a empresa porque temem que isso possa dissuadir os alvos futuros de compartilhar informações sobre ataques cibernéticos em particular com pesquisadores de segurança.)
Nos últimos dois anos, as empresas de segurança cibernética têm corrido para desconstruir o malware – e descobrir quem está por trás dele. Sua pesquisa retrata uma imagem preocupante de uma sofisticada ciberespionagem construída e implantada por um grupo de hackers determinado e paciente cuja identidade ainda não foi estabelecida com certeza.
Os hackers parecem ter estado dentro da rede corporativa de TI da petroquímica desde 2014. A partir daí, eles acabaram encontrando um caminho para a rede da própria fábrica, provavelmente através de um buraco em um firewall digital mal configurado que deveria impedir o acesso não autorizado. Em seguida, eles entraram em uma estação de trabalho de engenharia, explorando uma falha não corrigida em seu código do Windows ou interceptando as credenciais de login de um funcionário.
Como a estação de trabalho se comunicava com os sistemas instrumentados de segurança da fábrica, os hackers puderam aprender a marca e o modelo dos controladores de hardware dos sistemas, bem como as versões de seus firmware – software embutido na memória de um dispositivo e que rege sua comunicação outras coisas.
É provável que eles tenham adquirido uma máquina idêntica da Schneider e usado para testar o malware que eles desenvolveram. Isso tornou possível imitar o protocolo, ou conjunto de regras digitais, usado pela estação de trabalho de engenharia para se comunicar com os sistemas de segurança. Os hackers também encontraram uma “vulnerabilidade de dia zero”, ou bug anteriormente desconhecido, no firmware do modelo Triconex. Isso permitiu que eles injetassem código nas memórias dos sistemas de segurança, garantindo que eles pudessem acessar os controladores sempre que quisessem.
Assim, os intrusos poderiam ter ordenado que os sistemas instrumentados de segurança se desabilitassem e, em seguida, usassem outro malware para acionar uma situação insegura na fábrica.
Os resultados poderiam ter sido horríveis. O pior desastre industrial do mundo até o momento também envolveu um vazamento de gases venenosos. Em dezembro de 1984, uma fábrica de pesticidas da Union Carbide em Bhopal, Índia, liberou uma vasta nuvem de fumaça tóxica, matando milhares de pessoas e causando ferimentos graves em muitos outros. A causa que o tempo foi má manutenção e erro humano. Mas o mau funcionamento e os sistemas de segurança inoperáveis da fábrica fizeram com que sua última linha de defesa falhasse.
Mais alertas vermelhos
Houve apenas alguns exemplos anteriores de hackers usando o ciberespaço para tentar atrapalhar o mundo físico. Eles incluem o Stuxnet, que fez com que centenas de centrífugas de uma usina nuclear iraniana saíssem do controle e se destruíssem em 2010, e o CrashOverride, que os hackers russos usaram em 2016 para atacar a rede elétrica da Ucrânia. (Nossa barra lateral fornece um resumo desses e de outros ataques ciber-físicos notáveis.)
No entanto, nem mesmo o mais pessimista dos ciber-Cassandras via malware como o Triton. “Visar os sistemas de segurança parecia estar fora dos limites, moral e realmente difícil de fazer tecnicamente”, explica Joe Slowik, ex-oficial de guerra de informações da Marinha dos EUA, que também trabalha na Dragos.
Outros especialistas também ficaram chocados quando viram notícias do código assassino. “Mesmo com o Stuxnet e outros malwares, nunca houve uma intenção flagrante de prejudicar as pessoas”, diz Bradford Hegrat, consultor da Accenture especializado em segurança cibernética industrial.
É quase certo que não é coincidência que o malware tenha aparecido quando hackers de países como Rússia, Irã e Coréia do Norte intensificaram a investigação de setores de “infraestrutura crítica” vitais para o bom funcionamento das economias modernas, como empresas de petróleo e gás, concessionárias de eletricidade. e redes de transporte.
Em um discurso no ano passado , Dan Coats, diretor de inteligência nacional dos EUA, alertou que o perigo de um ataque cibernético incapacitante à infra-estrutura crítica americana estava crescendo. Ele traçou um paralelo com o aumento da interferência cibernética das agências de inteligência dos EUA detectadas entre grupos terroristas antes do ataque ao World Trade Center em 2001. “Aqui estamos quase duas décadas depois, e estou aqui para dizer que as luzes de aviso estão piscando de novo” disse Coats. “Hoje, a infraestrutura digital que serve esse país está literalmente sob ataque”.
No início, Triton foi amplamente pensado para ser o trabalho do Irã, dado que ele e Arábia Saudita são arquiinimigos. Mas os cyber-whodunnits raramente são diretos. Em um relatório publicado em outubro passado , a FireEye, uma empresa de segurança cibernética que foi chamada logo no início da investigação da Triton, apontou um outro culpado: a Rússia.
Os hackers por trás do Triton testaram elementos do código usado durante a invasão para dificultar a detecção de programas antivírus. Os pesquisadores da FireEye encontraram um arquivo digital que eles haviam deixado para trás na rede da empresa petroquímica, e eles foram capazes de rastrear outros arquivos do mesmo banco de testes. Estes continham vários nomes em caracteres cirílicos, bem como um endereço IP que tinha sido usado para iniciar operações ligadas ao malware.
Esse endereço foi registrado no Instituto Central de Pesquisa Científica de Química e Mecânica, em Moscou, uma organização do governo com divisões que se concentram em infra-estrutura crítica e segurança industrial. A FireEye também disse que encontrou evidências que apontavam para o envolvimento de um professor no instituto, embora não identificasse a pessoa. No entanto, o relatório observou que a FireEye não havia encontrado provas específicas que provassem definitivamente que o instituto havia desenvolvido Triton.
Os pesquisadores ainda estão investigando as origens do malware, portanto, mais teorias sobre quem está por trás dele ainda podem surgir. Gutmanis, por sua vez, faz questão de ajudar as empresas a aprenderem lições importantes de sua experiência na fábrica saudita. Em uma apresentação na conferência de segurança industrial S4X19, em janeiro, ele descreveu vários deles. Eles incluíam o fato de que a vítima do ataque de Tritão havia ignorado vários alarmes de antivírus acionados pelo malware e que ele não havia detectado algum tráfego incomum em suas redes. Os funcionários da fábrica também deixaram as chaves físicas que controlam as configurações dos sistemas Triconex em uma posição que permitia que o software das máquinas fosse acessado remotamente.
Se isso faz com que os negócios sauditas pareçam um caso de cestas de segurança, Gutmanis diz que não é. “Participei de muitas fábricas nos EUA que não eram nem de longe tão maduras [em sua abordagem da segurança cibernética] quanto essa organização era”, explica ele.
Outros especialistas notam que o Triton mostra que os hackers do governo agora estão dispostos a perseguir alvos relativamente obscuros e difíceis de quebrar em instalações industriais. Os sistemas instrumentados de segurança são altamente adaptados para proteger diferentes tipos de processos, portanto, a criação de malwares para controlá-los envolve muito tempo e muito esforço. O controlador Triconex da Schneider Electric, por exemplo, vem em dezenas de modelos diferentes, e cada um deles pode ser carregado com diferentes versões de firmware.
O fato de os hackers terem se esforçado tanto para desenvolver o Triton foi um alerta para a Schneider e outros fabricantes de sistemas de segurança instrumentados – empresas como a Emerson nos EUA e a Yokogawa no Japão. Schneider foi elogiado por compartilhar publicamente detalhes de como os hackers atacaram seu modelo Triconex na fábrica da Arábia Saudita, inclusive destacando o bug de dia zero que já foi corrigido. Mas durante sua apresentação em janeiro, Gutmanis criticou a empresa por não se comunicar o suficiente com os investigadores logo após o ataque.
Schneider respondeu dizendo que havia cooperado totalmente com a empresa cuja fábrica foi alvo, assim como com o Departamento de Segurança Interna dos EUA e outras agências envolvidas na investigação de Triton. Ela contratou mais pessoas desde o evento para ajudar a responder a futuros incidentes e também reforçou a segurança do firmware e dos protocolos usados em seus dispositivos.
Andrew Kling, executivo da Schneider, diz que uma importante lição da descoberta de Triton é que as empresas industriais e fabricantes de equipamentos precisam se concentrar ainda mais em áreas que podem parecer alvos altamente improváveis de hackers, mas que poderiam causar desastres se comprometidas. Isso inclui coisas como aplicativos de software que raramente são usados e protocolos mais antigos que controlam a comunicação máquina-a-máquina. “Você pode pensar que ninguém vai se incomodar em quebrar um protocolo obscuro que nem sequer é documentado”, diz Kling, “mas você precisa perguntar, quais são as consequências se o fizerem?”
Um futuro analógico?
Ao longo da última década, as empresas vêm adicionando conectividade à Internet e sensores a todos os tipos de equipamentos industriais. Os dados capturados estão sendo usados para tudo, desde a manutenção preditiva – o que significa usar modelos de aprendizado de máquina para prever melhor quando o equipamento precisa de manutenção – para aperfeiçoar os processos de produção. Também houve um grande esforço para controlar os processos remotamente por meio de smartphones e tablets.
Tudo isso pode tornar as empresas muito mais eficientes e produtivas, o que explica por que eles devem gastar cerca de US $ 42 bilhões este ano em equipamentos industriais de internet, como sensores inteligentes e sistemas de controle automatizados, segundo o ARC Group, que monitora o mercado. Mas os riscos também são claros: quanto mais equipamentos conectados existirem, mais alvos os hackers devem ter.
Para manter os invasores afastados, as empresas industriais normalmente contam com uma estratégia conhecida como “defesa em profundidade”. Isso significa criar várias camadas de segurança, começando com firewalls para separar as redes corporativas da Internet. Outras camadas destinam-se a impedir que hackers entrem em redes de plantas e, em seguida, em sistemas de controle industrial.
Essas defesas também incluem coisas como ferramentas antivírus para detectar malware e, cada vez mais, software de inteligência artificial que tenta detectar um comportamento anormal dentro dos sistemas de TI. Então, como o backstop final, existem os sistemas de segurança instrumentados e as falhas físicas. Os sistemas mais críticos normalmente têm vários backups físicos para proteger contra a falha de qualquer elemento.
A estratégia provou ser robusta. Mas a ascensão dos hackers com o tempo, o dinheiro e a motivação para direcionar a infra-estrutura crítica, bem como o uso crescente de sistemas conectados à Internet, significa que o passado pode não ser um guia confiável para o futuro.
A Rússia, em particular, mostrou que está disposta a transformar o software em software e implantá-lo contra alvos físicos na Ucrânia, que ele usou como campo de testes para seu kit de armas cibernéticas. E a implantação da Triton na Arábia Saudita mostra que hackers determinados passarão anos de investigação e sondagem para encontrar maneiras de perfurar todas essas camadas defensivas.
Felizmente, os atacantes da fábrica saudita foram interceptados e agora sabemos muito mais sobre como eles funcionavam. Mas é um lembrete de que, assim como outros desenvolvedores, os hackers cometem erros também. E se o bug inadvertidamente introduzido, em vez de desencadear um desligamento seguro, tivesse desativado os sistemas de segurança da fábrica justamente quando um erro humano ou outro erro fizesse com que um dos processos críticos da fábrica ficasse descontrolados? O resultado poderia ter sido uma catástrofe, mesmo que os hackers não tivessem a intenção de causar isso.
Especialistas em locais como o Idaho National Laboratory, dos Estados Unidos, estão instando as empresas a revisitar todas as suas operações à luz do Triton e outras ameaças ciber-físicas, e reduzir radicalmente ou eliminar os caminhos digitais que os hackers poderiam usar para chegar a processos críticos.
As empresas podem se irritar com os custos de fazer isso, mas a Triton é um lembrete de que os riscos estão aumentando. Gutmanis acredita que mais ataques usando o malware mais assassino do mundo são inevitáveis. “Enquanto este foi o primeiro”, diz ele, “eu ficaria surpreso se ele acaba por ser o último.”