Brasil Energia, nº 482, 15 de agosto de 2023 55 Parece coisa de cinema, mas o setor elétrico brasileiro já foi “visitado”por cibercriminosos internacionais especializados em invadir áreas operacionais. Não se trata de ataques de ramsonware, focados em paralisar uma área de tecnologia da informação e pedir um pagamento para liberar o sequestro. Essa nova onda envolve uma disrupção que já acontece fora do país, mas ainda é novidade no Brasil, segundo Alexandre Freire, engenheiro de vendas técnicas da Nozomi Networks. Ele explica que os novos atacantes tentam entender e controlar protocolos de componentes remotos da infraestrutura de energia, inclusive dispositivos de redes inteligentes, escalando posteriormente para níveis avançados de controle. Dois desses grupos já tiveram movimentações rastreadas no Brasil. O primeiro é o russo Grizzly Steppe, a quem se atribui várias campanhas de ciberataques a setores de infraestrutura crítica no mundo, incluindo energia. O segundo – considerado mais agressivo – é o iraniano APT 34, sigla para Advanced Persistent Threat. “O número “34” é uma designação que indica a ordem de descoberta deles por pesquisadores de segurança cibernética”, explica Freire. “São cibercriminosos que atuam em campanhas que afetam a disponibilidade da infraestrutura de energia”, complementa. É do APT 34 o registro mais perturbador de ataque no Brasil entre os monitorados pela Nozomi. Os atacantes teriam infectado uma subestação de energia, entrando em servidores e acessando gateways de comunicação. A tentativa não avançou porque a concessionária tinha mecanismos de segurança de borda e no perímetro de internet que impediram a continuidade do processo. “Se a concessionária tivesse algum problema em seus firewalls de borda, poderia haver um comprometimento do sistema e haveria a possibilidade de os cibercriminosos acessarem equipamentos e, por exemplo, desarmarem disjuntores, entre outras ações”, completa Freire. Internacionalmente, o avanço dos atacantes para a área operacional, onde predomina a tecnologia de operação (TO), inclui casos famosos como a paralisação de uma usina de energia em Kiev, na Ucrânia, por pelo menos uma hora no final de 2016. A causa foi o malware desenvolvido especificamente para ataque em redes elétricas, o Industroyer. Grupos de invasores russos e iranianos já foram detectados e rastreados no Brasil
RkJQdWJsaXNoZXIy NDExNzM=