2015-ukraine-electric-power-attack

# 2015 Ukraine Electric Power Attack ## Descrição Em dezembro de 2015, o [[g0034-sandworm|Sandworm Team]] - um grupo de ameaça avançada vinculado ao GRU russo - conduziu o primeiro ataque cibernético públicamente documentado capaz de causar uma interrupção real em redes elétricas. Utilizando o malware [[s0089-blackenergy|BlackEnergy3]] como vetor de acesso inicial e o [[s0607-killdisk|KillDisk]] como payload destrutivo, o grupo comprometeu três distribuidoras regionais de energia na Ucrânia: Kyivoblenergo, Prykarpattyaoblenergo e Chernivtsioblenergo. O vetor de acesso inicial foi spearphishing com anexos maliciosos do Microsoft Word contendo macros VBA que instalavam o BlackEnergy3. Após meses de reconhecimento e movimento lateral, o [[g0034-sandworm|Sandworm Team]] executou o ataque coordenado em 23 de dezembro de 2015, desabilitando sistemas de controle industrial SCADA e usando o [[s0607-killdisk|KillDisk]] para destruir dados e impedir a recuperação. O ataque afetou aproximadamente **230.000 consumidores** em três regiões da Ucrânia, com interrupções de energia que duraram entre 1 e 6 horas. Foi necessária intervenção manual nos painéis de controle físicos das subestações para restaurar o fornecimento - exatamente o que o [[s0607-killdisk|KillDisk]] pretendia impossibilitar ao corromper os sistemas de controle. A campanha demonstrou pela primeira vez que ataques cibernéticos podiam causar impacto físico direto em infraestrutura crítica civil, marcando um precedente histórico em segurança de sistemas industriais (ICS/SCADA). A atribuição ao [[g0034-sandworm|Sandworm Team]] foi confirmada por múltiplas empresas de segurança, incluindo ESET, iSIGHT Partners e Mandiant, com base em artefatos técnicos do BlackEnergy3 e infraestrutura C2 previamente associados ao grupo. O governo ucraniano e agências de inteligência ocidentais responsabilizaram formalmente a Rússia. Esta campanha é precursora direta do ataque de 2016 (Industroyer/CRASHOVERRIDE) e do ataque de 2022 (CaddyWiper), evidênciando o padrão sistemático do [[g0034-sandworm|Sandworm Team]] de usar a Ucrânia como campo de testes para operações cibernéticas contra infraestrutura crítica. ## Atores Envolvidos - [[g0034-sandworm|Sandworm Team]] ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1136-002-domain-account|T1136.002 - Domain Account]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] ## Software Utilizado - [[s0607-killdisk|KillDisk]] - [[s0089-blackenergy|BlackEnergy]] ## Impacto | Métrica | Dado | |---------|------| | Consumidores afetados | ~230.000 em três regiões | | Distribuidoras comprometidas | Kyivoblenergo, Prykarpattyaoblenergo, Chernivtsioblenergo | | Duração das interrupções | 1 a 6 horas por região | | Sistemas de controle destruídos | Firmware de conversores serial-para-Ethernet sobrescrito pelo KillDisk | | Método de recuperação | Manual - operadores físicos nas subestações | O uso do [[s0607-killdisk|KillDisk]] para destruir o firmware de equipamentos de controle representou uma inovação táctica significativa: ao sobreescrever o firmware dos conversores serial-para-Ethernet (SEL relays), o grupo impossibilitou a operação remota dos sistemas por semanas, forçando substituição de hardware. Além da interrupção de energia, dados foram destruídos em estações de trabalho de operadores para dificultar a análise forense e a recuperação. ## Relevância LATAM/Brasil Embora o ataque tenha sido direcionado à Ucrânia, o [[2015-ukraine-electric-power-attack|ataque de 2015]] possui relevância direta para o Brasil e a América Latina: - **Protocolos ICS vulneráveis:** Os protocolos industriais abusados (DNP3, ICCP) são amplamente utilizados em subestações brasileiras operadas pela ONS (Operador Nacional do Sistema Elétrico) e distribuidoras regionais como Enel, CPFL e CEMIG - **Modelo de ataque replicável:** A cadeia de ataque - spearphishing → BlackEnergy → KillDisk - é agnóstica de geografia e pode ser replicada contra infraestrutura elétrica brasileira sem modificações significativas - **ANEEL e ONS:** O ataque motivou revisões nos regulamentos de segurança cibernética para concessionárias de energia no Brasil, culminando na Resolução Normativa ANEEL nº 964/2021 - **Risco estratégico:** O Brasil possui a maior infraestrutura elétrica da América Latina, com alta dependência de sistemas SCADA - tornando a proteção de OT (Tecnologia Operacional) uma prioridade estratégica nacional --- *Fonte: [MITRE ATT&CK - C0028](https://attack.mitre.org/campaigns/C0028)* *Fonte: [SANS ICS - Analysis of the Ukraine Power Grid Attacks](https://www.sans.org/reading-room/whitepapers/ICS/)* *Fonte: [ESET - BlackEnergy & Quedas de Energia na Ucrânia](https://www.welivesecurity.com/)*