TLP: branco
Análise do Cyber
Ataque à rede elétrica ucraniana
Caso de uso de defesa
1
Attack on the Ukrainian Power Grid
Prefácio ......................................................................................................................................... 3
Resumo de incidentes ................................................................................................................... 4
Resumo de informações e relatórios ............................................................................................ 5
fundo ......................................................................................................................................... 5
Mantendo a perspectiva ........................................................................................................... 5
Táticas de Atacante Descrição de Técnicas e Procedimentos ...................................................... 6
Capacidade................................................................................................................................ 6
Mapeamento da cadeia de mortes cibernéticas do ICS.............................................................. 10
Mapeamento da Cadeia de Ciber-Morte do ICS - Estágio 1 (p. 5) .......................................... 10
Especulação ............................................................................................................................ 12
Mapeamento da Cadeia de Ciber-Morte do ICS - Estágio 2 ................................................... 13
Lições de Defesa Aprendidas - Defesas Passivas e Ativas (p. 11)................................................ 15
Spear Phishing ............................................................................................................................. 15
Ataque à Ucrânia .................................................................................................................... 15
O próximo ataque (p. 12) ........................................................................................................ 15
Oportunidades para interromper ........................................................................................... 16
Ataque à Ucrânia .................................................................................................................... 16
O próximo ataque ................................................................................................................... 17
Oportunidades para interromper ........................................................................................... 17
Exfiltração de dados .................................................................................................................... 17
Ataque à Ucrânia (p. 12) ......................................................................................................... 17
O próximo ataque (p. 13) ........................................................................................................ 17
Acesso VPN (p. 13) ...................................................................................................................... 18
Ataque à Ucrânia .................................................................................................................... 18
Acesso Remoto da Estação de Trabalho ..................................................................................... 19
Ataque à Ucrânia .................................................................................................................... 19
O próximo ataque ................................................................................................................... 19
Oportunidades para interromper ........................................................................................... 19
Controlar e operar ....................................................................................................................... 19
Ataque à Ucrânia .................................................................................................................... 19
O próximo ataque ................................................................................................................... 20
Oportunidades para interromper (p. 14) ................................................................................ 20
Ferramentas e impactos tecnológicos (p. 15) ............................................................................. 21
Ataque à Ucrânia .................................................................................................................... 21
Oportunidades para interromper ........................................................................................... 21
Responder e restaurar ................................................................................................................ 22
Ataque à Ucrânia .................................................................................................................... 22
O próximo ataque ................................................................................................................... 22
Oportunidades para interromper / restaurar ......................................................................... 22
Implicações e Conclusão ............................................................................................................. 24
Implicações para defensores .................................................................................................. 24
Conclusão .................................................................................................................................... 25
Tema 1 .................................................................................................................................... 25
Tema 2 .................................................................................................................................... 25
Tema 3 .................................................................................................................................... 25
Tema 4 .................................................................................................................................... 26
Tema 5 (p. 21) ......................................................................................................................... 26
Apêndice Avaliação de Informações ........................................................................................... 27
Credibilidade: 538 ................................................................................................................... 27
2
Attack on the Ukrainian Power Grid
Prefácio
Resumo dos incidentes
Táticas de Atacante Descrição de Técnicas e Procedimentos
Mapeamento da cadeia de mortes cibernéticas do ICS
Lições de Defesa Aprendidas - Defesas Passivas e Ativas
Recomendações
Implicações e Conclusão.
Apêndice Informação Avaliação
PREFÁCIO
Análise do ataque cibernético na rede elétrica ucraniana
Esta é uma análise de uma equipe conjunta para fornecer um recurso da
comunidade de lições aprendidas do ataque cibernético à rede elétrica
ucraniana. O documento está sendo lançado como Traffic Light Protocol:
White (TLP: Branco) e pode ser distribuído sem restrições, sujeito a
controles de direitos autorais. Este documento, o Caso de Uso de Defesa
(DUC), resume pontos de aprendizagem importantes e apresenta várias
ideias de mitigação baseadas em informações publicamente disponíveis
sobre incidentes ICS na Ucrânia. O E-ISAC e o SANS estão fornecendo um
resumo das informações disponíveis compiladas de várias fontes disponíveis
publicamente, bem como a análise realizada pela equipe da SANS em
relação a esse evento.1 Este documento fornece conceitos específicos de
atenuação para o Controle de Supervisão e Aquisição de Dados do sistema
de energia (SCADA), bem como uma oportunidade geral de aprendizagem
para os defensores do ICS.
Autores, trabalhando com o E-ISAC:
Robert M. Lee, SANS Michael J. Assante, SANS Tim Conway, SANS
3
Attack on the Ukrainian Power Grid
RESUMO DE INCIDENTES
Em 23 de dezembro de 2015, a ucraniana Kyivoblenergo, uma empresa
regional de distribuição de eletricidade, reportou falhas de serviço aos
clientes. As interrupções foram causadas pela entrada ilegal de terceiros no
computador da empresa e nos sistemas SCADA: a partir de
aproximadamente 15h35. No horário local, sete subestações de 110 kV e
23 de 35 kV foram desconectadas por três horas. Declarações posteriores
indicaram que o ataque cibernético impactou partes adicionais da rede de
distribuição e forçou os operadores a mudar para o modo manual.2, 3 O
evento foi elaborado pela mídia ucraniana, que conduziu entrevistas e
determinou que um atacante estrangeiro controlasse remotamente o
SCADA. sistema de gerenciamento de distribuição.4 Originalmente,
pensava-se que as interrupções afetaram aproximadamente 80.000 clientes,
com base na atualização do Kyivoblenergo para os clientes. No entanto, mais
tarde, foi revelado que três diferentes oblenergos de distribuição (um termo
usado para descrever uma empresa de energia) foram atacados, resultando
em várias interrupções que causaram a perda de energia de
aproximadamente 225.000 clientes em várias áreas.5, 6
Logo após o ataque, funcionários do governo ucraniano alegaram que as
interrupções foram causadas por um ataque cibernético e que os serviços de
segurança russos foram responsáveis pelos incidentes.7 Após essas
alegações, investigadores na Ucrânia, bem como empresas privadas e o
governo dos EUA realizaram análises. e ofereceram assistência para
determinar a causa raiz da interrupção.8 Tanto a equipe do E-ISAC quanto
do SANS ICS estiveram envolvidas em vários esforços e análises em relação
a esse caso desde 25 de dezembro de 2015, trabalhando com membros e
organizações confiáveis na comunidade.
Este relatório conjunto consolida as informações de código aberto,
esclarecendo detalhes importantes em torno do ataque, oferecendo lições
aprendidas e recomendando abordagens para ajudar a comunidade do ICS a
repelir ataques semelhantes. Este relatório não se concentra na atribuição do
ataque.
4
Attack on the Ukrainian Power Grid
fundo
Em 24 de dezembro de 2015, a TSN (uma agência de notícias ucraniana)
divulgou o relatório “Devido a uma invasão de hackers, metade da região de
Ivano-Frankivsk é desativada.” 9 Inúmeras agências de reportagem e
blogueiros independentes do Washington Post, SANS Institute, O New York
Times, a ARS Technica, a BBC, a Wired, a CNN, a Fox News e o Relatório
E-ISAC acompanharam o relatório inicial da TSN.10 Esses relatórios
subsequentes forneceram coletivamente detalhes de um ataque cibernético
direcionado ao sistema elétrico ucraniano. O Departamento de Segurança
Interna dos EUA (DHS) emitiu um relatório formal em 25 de fevereiro de
2016, intitulado IR-ALERT-H-16-056-01.11 Com base no relatório do DHS,
três oblenergos ucranianos sofreram ataques cibernéticos coordenados que
foram executados em 30 minutos de cada um. O ataque impactou 225.000
clientes e exigiu que os oblenergos passassem para operações manuais em
resposta ao ataque.
Os oblenergos foram supostamente capazes de restaurar o serviço
rapidamente após uma janela de inatividade que durou várias horas.12 O
relatório do DHS afirma que, enquanto o serviço elétrico foi restaurado, os
oblenergos impactados continuam a operar seus sistemas de distribuição em
um modo operacionalmente restrito. Dentro do sistema elétrico ucraniano,
esses ataques foram direcionados ao nível de distribuição regional, como
mostrado na Figura 1.
Mantendo a perspectiva
Os ataques cibernéticos na Ucrânia são os primeiros incidentes
publicamente reconhecidos a resultar em cortes de energia. Como futuros
ataques podem ocorrer, é importante avaliar os impactos do incidente. As
interrupções de energia devem ser medidas em escala (número de clientes e
quantidade de infraestrutura de eletricidade envolvida) e em duração até a
restauração completa. Os incidentes ucranianos afetaram até 225.000
clientes em três diferentes territórios de serviço em nível de distribuição e
duraram várias horas. Esses incidentes devem ser classificados em escala
macro como baixos em termos de impactos no sistema de energia, já que a
interrupção afetou um número muito pequeno de consumidores de energia
na Ucrânia e a duração foi limitada. Em contraste, é provável que as
empresas afetadas classifiquem esses incidentes como altos ou críticos
para a confiabilidade de seus sistemas e operações comerciais.
5
Attack on the Ukrainian Power Grid
Capacidade
Os atacantes demonstraram uma variedade de recursos, incluindo e-
mails de spear phishing1, variantes do malware BlackEnergy 3 e a
manipulação de documentos do Microsoft Office que continham o malware
para se firmarem nas redes de tecnologia da informação (TI) das empresas
de eletricidade.213 demonstrou a capacidade de ganhar credenciais e
informações para obter acesso à rede ICS. Além disso, os invasores
demonstraram experiência, não apenas em infra-estrutura conectada em
rede; como Uninterruptable Power Supplies (UPSs), mas também na
operação dos ICSs através do sistema de controle de supervisão; como a
Interface Homem-Máquina (IHM), como mostrado na Figura 2.
1
Phishing é o empréstimo que designa as tentativas de obtenção de informação pessoalmente
identificável através de uma suplantação de identidade por parte de criminosos em
contextos informáticos (engenharia social).[1][2] A palavra é um neologismo criado a partir
do inglês fishing (pesca) devido à semelhança entre as duas técnicas, servindo-se de um isco para apanhar
uma vítima. Em 2014, estimava-se que o seu impacto económico mundial fosse de 5 mil milhões de
dólares.[3]
É normalmente levado a cabo através da falsificação de comunicação eletrónica — spoofing — de
correio[4] ou mensagens,[5] dirigindo o utilizador para um sítio semelhante ao original e incitando-o a
preencher campos onde detalhe dados como nomes de utilizador, chaves de acesso ou detalhes
bancários. Estas tentativas fingem ter como origem portais sociais, instituições bancárias ou
administradores de sistemas e podem conter ligações a sítios infetados por ameaças. Para além disto, pode
servir para a instalação de software malicioso no sistema da vítima, podendo servir de plataforma
para outro tipo de ataques, como por exemplo as ameaças persistentes avançadas.
2
Para uma discussão sobre a história do malware BlackEnergy 3 e da equipe Sandworm, veja o webcast
do SANS ICS com iSight aqui:
https://www.sans.org/webcasts/analysis-sandworm-team-ukraine-101597
6
Attack on the Ukrainian Power Grid
7
Attack on the Ukrainian Power Grid
8
Attack on the Ukrainian Power Grid
9
Attack on the Ukrainian Power Grid
10
Attack on the Ukrainian Power Grid
11
Attack on the Ukrainian Power Grid
Especulação
Não havia informações disponíveis publicamente suficientes para
determinar o quão diversificado era o ataque do adversário para incluir
quantos tipos diferentes de dispositivos foram afetados no nível do firmware.
No entanto, através de informações disponíveis publicamente sobre as redes
ucranianas, bem como o conhecimento de sistemas similares de distribuição
elétrica, é provável que houvesse um ambiente diversificado de hardware e
software.
Suspeita-se que as redes administrativas e ICS continham várias versões
do sistema operacional, como o Windows XP e o Windows 7, vários tipos
de RTUs e gateways e vários switches industriais.
12
Attack on the Ukrainian Power Grid
13
Attack on the Ukrainian Power Grid
14
Attack on the Ukrainian Power Grid
SPEAR PHISHING
Ataque à Ucrânia
No ataque, o adversário enviou um email direcionado com um anexo
malicioso que parecia vir de uma fonte confiável para indivíduos específicos
dentro das organizações. As recomendações iniciais de mitigação
apontariam para o treinamento de conscientização do usuário final e o teste
de phishing em andamento. Os esforços para impedir o malware sempre
recomendam a lista de permissões, que pode ser eficaz em ambientes ICS se
o fornecedor do ICS aprovar o uso. No entanto, com base nos detalhes desse
ataque, a lista branca de aplicativos teria um papel limitado na execução das
infecções iniciais de conta-gotas em segmentos de rede com estações de
trabalho infectadas (por exemplo, usuários que receberam e ativaram e-mails
infectados) onde a lista de permissões de aplicativos pode ser mais
desafiador para implementar. É importante observar que a lista branca de
aplicativos não teria impedido ou impedido os ataques ICS de segunda etapa
que afetavam os oblenergos ucranianos. Em pelo menos uma instância, o
invasor usou um cliente invasor remoto e recursos de administração remota
no nível do sistema operacional aprovados para outros componentes do
ataque.
15
Attack on the Ukrainian Power Grid
Ataque à Ucrânia
No ataque, o adversário parece ter usado o BlackEnergy 3 para
estabelecer um ponto de apoio e utilizar os registradores de toques de tecla
para executar o roubo de credenciais. Como uma abordagem inicial de
mitigação, recomendamos que as organizações obtenham as regras do
YARA para os últimos IOCs. Ao usar a ferramenta forense YARA, as
organizações podem procurar infecções por BlackEnergy 3 e, em seguida,
utilizar ferramentas de remoção de antimalware para eliminar o malware dos
ativos infectados. Os defensores devem ter em mente o tempo que leva para
detectar um host infectado, pois o intruso já pode ter se movido dentro da
rede e garantido métodos adicionais para interagir e se comunicar com a rede
infectada. As organizações devem alterar as senhas de usuário e de usuário
compartilhado (garantir que essas etapas sejam aprovadas pelas operações e
pelo fornecedor e testadas quanto a impactos nas operações e nos controles
de segurança existentes).
16
Attack on the Ukrainian Power Grid
O próximo ataque
Adversários com acesso persistente simplesmente usarão um Trojan de
acesso remoto diferente, uma versão atualizada do BlackEnergy 3 ou um
modo alternativo de ataques de credenciais. Para detectar e atenuar o
movimento adversário em todo o ambiente e a manipulação de contas, os
esforços de atenuação devem ser focados na segmentação de diretório (por
exemplo, Active Directory, Domínio, eDirectory e LDAP) com modelos de
confiança de unidade organizacional. Essa abordagem permitiria a detecção
antecipada e evitaria algumas abordagens básicas de invasores.
EXFILTRAÇÃO DE DADOS
17
Attack on the Ukrainian Power Grid
Ataque à Ucrânia
As diretrizes de atenuação com base na abordagem do invasor usada
nesta campanha recomendam o uso da autenticação de dois fatores com
tokens do usuário para fortalecer a autenticação.
O próximo ataque
Os invasores podem começar a procurar implementações de VPN ponto
a ponto existentes em redes de terceiros confiáveis ou por meio de conexões
de funcionários de suporte remoto em que o tunelamento dividido está
ativado. A recomendação imediata de atenuação é implementar o host de
salto confiável ou os sistemas intermediários com a imposição de NAC
(Controle de Acesso à Rede). Além disso, uma abordagem de configuração
de VPN que desabilita o tunelamento dividido deve ser imposta.
Oportunidades para interromper: Os defensores são lembrados de que ter
acesso remoto por meio de uma conexão confiável é vantajoso para um
invasor. Comece perguntando por que cada caminho de comunicação
confiável existe, avalie o risco e elimine cada caminho que não tenha uma
necessidade identificada que supera o risco de ter um caminho de ataque.
Para esses caminhos de comunicação que devem permanecer, considere
implementar o acesso de tempo de uso para os usuários. Implemente a
capacidade de desconectar esses caminhos de maneira automatizada após um
período de tempo definido após o acesso concedido e um método para
desconectar manualmente, se necessário. A partir de uma perspectiva de
defesa passiva, force pontos de estrangulamento no ambiente, garantindo que
as VPNs remotas entrem no ambiente através de um acesso remoto DMZ
dedicado. Isso garante que o tráfego e as conexões possam ser monitorados
por defensores ativos usando técnicas como monitoramento de segurança de
rede para identificar anormalidades na duração das conexões, no número de
conexões e no tempo em que as conexões ocorrem.
18
Attack on the Ukrainian Power Grid
Ataque à Ucrânia
Com base nos detalhes fornecidos, os adversários usaram as estações de
trabalho das organizações remotamente (enquanto o invasor estava
fisicamente remoto, logicamente eram locais para o host) para conduzir o
estágio 2 do ataque. As recomendações de atenuação se concentram em
desabilitar o acesso remoto no host e no firewall do perímetro.
O próximo ataque
Os adversários podem modificar as abordagens de ataque para carregar
ferramentas de acesso remoto adicionais, utilizar recursos de shell remotos e
encapsular as comunicações através de comunicações de firewall de
perímetro autorizadas. Em resposta a essa abordagem de ataque modificada,
os esforços de atenuação devem se concentrar nos firewalls com
reconhecimento de aplicativos baseados em host, na lista de permissões de
aplicativos e nos esforços de gerenciamento de configuração para identificar
alterações na operação de um ativo. A lista branca de aplicativos, se instalada
na HMI do operador para impedir a instalação de software de acesso remoto
não autorizado, não ajudará na prevenção de software autorizado. Além
disso, lembre-se de que os fornecedores de sistemas de controle específicos
podem não aprovar o software de lista de desbloqueio.
CONTROLAR E OPERAR
Ataque à Ucrânia
Como os invasores utilizavam o IHM do operador, eles operavam vários
sites sob o controle do despachante. Abordagens de mitigação para essa ação
específica focarão na lógica de nível de aplicativo que requer confirmação
do operador ou implementam limitações de Área de Responsabilidade (AoR)
que permitem que um operador efetue determinados componentes de um
19
Attack on the Ukrainian Power Grid
O próximo ataque
Quando um invasor identifica uma estação de trabalho com controles de
segurança de aplicativo que limitam seus recursos, eles podem modificar seu
ataque para controlar o sistema diretamente, emitindo ou injetando
comandos de controle. As estratégias de atenuação para essa abordagem se
concentrariam na autenticação do caminho de comunicação ou na
autenticação de protocolo que exigiria que os comandos fossem emitidos de
um ativo autorizado. Monitorar as sessões de comunicação entre os hosts
pode levar à detecção e investigação precoces de comunicações suspeitas.
20
Attack on the Ukrainian Power Grid
Ataque à Ucrânia
Os invasores usaram várias abordagens para impactar as ferramentas de
comunicação, a tecnologia do operador para os esforços de restauração e a
infraestrutura das instalações essenciais para muitas atividades do operador.
Portanto, as recomendações de mitigação são variadas. Itens para focar são:
Estabelecimento de recursos de filtragem e resposta em provedores de
telecomunicações para ativação durante um ataque TDoS em andamento
Desativar o gerenciamento remoto de dispositivos de campo quando
eles não são necessários.
Desconectar os sistemas de infraestrutura de controle da construção
da rede ICS.
Considere o número de peças necessárias para que os sistemas
incorporados recuperem a comunicação ou controle / proteção necessários.
O próximo ataque
Um ataque subsequente pode progredir do consumo de recursos para
uma interrupção do caminho de comunicação mais direta que afeta os
recursos de comunicação. Para atenuar essa abordagem, os defensores
precisam estabelecer uma infra-estrutura de comunicações alternativa para
os recursos de serviços essenciais.
Depois que um invasor identificar requisitos de segurança maiores para
o gerenciamento de dispositivo de campo, ele poderá tentar estabelecer
acesso direto a um dispositivo de campo por meio de um ativo local com
conectividade ou presença física no site para manipulação direta do
firmware. As estratégias de mitigação para essa abordagem de ataque se
concentram em controles de acesso eletrônicos e físicos e no
desenvolvimento de uma capacidade de resposta rápida durante um ataque
ou incidente.
21
Attack on the Ukrainian Power Grid
RESPONDER E RESTAURAR
Ataque à Ucrânia
Os ataques cibernéticos realizados contra três oblenergos ucranianos
foram bem planejados e altamente coordenados. Os ataques consistiram em
vários elementos principais com a ativação e suporte de segmentos de
ataque. Os invasores eram remotos e interagiam com vários locais dentro de
cada um de seus alvos para incluir instalações centrais e regionais. As
concessionárias de distribuição tradicionalmente têm escritórios centrais de
negócios e de engenharia e várias instalações de agências usadas para dar
suporte à equipe de linha, leitura de medidores, pagamento de contas e
operações de controle distribuído de supervisão. Certos tipos de ataques
cibernéticos projetados para assumir e operar maliciosamente um SCADA
DMS podem ser melhor executados de maneira distribuída no nível mais
baixo ou mais direto (de um despacho local e servidor SCADA para as
subestações que estão sendo monitoradas e controladas). Preparar-se para
um ataque multifacetado de alta velocidade não é fácil e requer uma revisão
cuidadosa do plano, testes, defesa integrada e exercícios de operações.
Ensaiando as etapas para separar ou impedir mais rapidamente o acesso
remoto, para separar com segurança os ICSs de redes conectadas ou para
conter e isolar hosts suspeitos é fundamental.
O próximo ataque
O próximo ataque pode propositalmente diferir em sua abordagem para
jogar fora ou derrotar os planos e expectativas do defensor. É fundamental
que os defensores exerçam e treinem contra diferentes cenários e estejam
cientes de que os invasores são co-adaptativos e criativos. É vital
desenvolver capacidades com flexibilidade em mente.
22
Attack on the Ukrainian Power Grid
23
Attack on the Ukrainian Power Grid
IMPLICAÇÕES E CONCLUSÃO
24
Attack on the Ukrainian Power Grid
CONCLUSÃO
Identificamos cinco temas para os defensores se concentrarem, pois
consideram o que esse ataque significa para sua organização:
Tema 1
Como defensores dos SCIs, considere a sequência de eventos levados
pelo adversário nos meses anteriores a 23 de dezembro de 2015, quando essa
operação cibernética visando a infraestrutura de eletricidade ucraniana foi
planejada e desenvolvida. A operação contou com intrusões que parecem ter
vindo de uma campanha de acesso mais ampla realizada na primavera de
2015. Em uma campanha de ataque prolongada, provavelmente há inúmeras
oportunidades para detectar e defender o sistema alvo. A cadeia de cyber kill
de dois estágios do ICS ajuda a perceber que, em um ambiente ICS, há uma
janela maior para a detecção e identificação dos tipos de ataque mais
preocupantes.
Tema 2
Os ataques cibernéticos foram realizados a poucos minutos um do outro
contra três oblenergos, resultando em quedas de energia afetando
aproximadamente 225.000 clientes por algumas horas. Embora o número
total de clientes em três territórios de serviço não corresponda a um número
significativo de clientes ou à carga na Ucrânia, pode haver significância na
seleção de destino ou cargas específicas. Um elemento crítico desse ataque
em particular foi sua natureza coordenada, afetando três entidades-alvo e a
meticulosidade da seqüência de eventos adversários para alcançar seus
objetivos. Oportunidades importantes para os defensores interromperem a
sequência de eventos do adversário foram identificadas.
Tema 3
Os ataques cibernéticos foram rotulados erroneamente como vinculados
apenas a BlackEnergy 3 e KillDisk. BlackEnergy 3 era simplesmente uma
ferramenta usado no Estágio 1 dos ataques e KillDisk foi uma ferramenta
amplificadora usada no Estágio 2 dos ataques. O malware BlackEnergy 3 foi
25
Attack on the Ukrainian Power Grid
Tema 4
O conceito de ataque tinha que ser capaz de funcionar em várias
implementações do SCADA DMS e visar elementos suscetíveis comuns,
como sobras de armazenamento para estações de trabalho e servidores do
sistema operacional baseados no Windows. Os invasores provavelmente
desenvolveram técnicas de sobregravação destrutivas de firmware após a
descoberta de sistemas embarcados acessíveis. Provavelmente, houve uma
quantidade significativa de testes adversários não observáveis realizados
antes da introdução do ataque ao meio ambiente. Muitos recursos foram
demonstrados durante todo este ataque, e todos eles fornecem lições
específicas aprendidas para os defensores tomarem medidas.
26
Attack on the Ukrainian Power Grid
Credibilidade: 538
As alegações do governo ucraniano de que as interrupções no território
de serviço das empresas de eletricidade alvo foram causadas por uma série
de ataques cibernéticos foram confirmadas. A reivindicação foi
originalmente recebida com ceticismo pessoal pela equipe do SANS ICS,
pois as organizações do ICS frequentemente têm problemas de
confiabilidade e culpam incorretamente mecanismos cibernéticos, como
malwares encontrados na rede, que não estão relacionados à interrupção. O
relato antecipado de incidentes é frequentemente apressado e estressante, o
que leva a afirmações imprecisas. No entanto, no caso da Ucrânia, há uma
grande quantidade de evidências disponíveis; incluindo amostras de
malware, entrevistas com operadores presentes durante o incidente e
confirmação por várias empresas privadas envolvidas no incidente. Por fim,
o governo dos EUA também confirmou os ataques devido a sua própria
investigação.
O relatório mais recente divulgado pelo DHS ICS-CERT39 cita
entrevistas diretas com “pessoal de operações e tecnologia da informação e
liderança em seis organizações ucranianas com experiência em primeira mão
do evento.” Com base nas informações fornecidas no relatório, 40 a
delegação dos EUA entrevistou e considerou informações das três
organizações impactadas, bem como de outras. O formato das entrevistas e
as discussões entre proprietários e operadores de ativos indicaram que “a
equipe não pôde analisar de forma independente as evidências técnicas do
ataque cibernético. No entanto, um número significativo de relatórios
independentes das entrevistas da equipe, bem como descobertas
documentais, corroboram os eventos ... ”41 No entanto, uma grande
quantidade de informações técnicas foi disponibilizada para a comunidade
maior, incluindo indicadores de comprometimento, amostras de malware,
informações sobre o próprio ICS e seus componentes, e algumas amostras
de logs do ambiente SCADA.42 A maioria das fontes até hoje tem confiado
nas tentativas iniciais de entidades de energia ucranianas de informar os
clientes sobre a causa da interrupção e fontes derivadas de entrevistas com
27
Attack on the Ukrainian Power Grid
28