# 2016 Ukraine Electric Power Attack ## Descrição Em 17 de dezembro de 2016 - exatamente um ano e um dia após o ataque de 2015 - o [[g0034-sandworm|Sandworm Team]] lançou seu segundo ataque contra a infraestrutura elétrica ucraniana, desta vez utilizando um malware radicalmente mais sofisticado: o [[s0604-industroyer|Industroyer]] (também conhecido como CRASHOVERRIDE). O alvo foi a subestação de alta tensão Pivnichna, operada pela concessionária Ukrenergo, localizada ao norte de Kiev. O [[s0604-industroyer|Industroyer]] foi o primeiro malware projetado específicamente para comúnicar-se com equipamentos de controle industrial usando protocolos nativos do setor elétrico - IEC 60870-5-104, IEC 60870-5-101, IEC 61850 e OPC DA - sem necessidade de exploits customizados. Esta capacidade o tornava potencialmente reutilizável contra qualquer rede elétrica no mundo. O ataque de 2016 causou uma interrupção de aproximadamente 75 minutos no fornecimento de energia para o norte de Kiev e arredores, afetando cerca de 200 MW de capacidade de distribuição (~20% da capacidade de Kiev). Embora o impacto imediato tenha sido menor em escala que o de 2015, a sofisticação técnica era dramaticamente superior: o [[s0604-industroyer|Industroyer]] enviava comandos diretamente para os disjuntores das subestações, abrindo-os e derrubando a rede, enquanto um módulo wiper tentava destruir configurações dos sistemas de controle para atrasar a recuperação. O [[g0034-sandworm|Sandworm Team]] também implantou um componente de denial-of-service contra os protocolos ICS para sobrecarregar os sistemas durante a fase de recuperação. A atribuição ao [[g0034-sandworm|Sandworm Team]] foi confirmada pela ESET (que analisou o [[s0604-industroyer|Industroyer]] em junho de 2017) e pela Dragos (que públicou análise do CRASHOVERRIDE), com base em sobreposições de código e infraestrutura C2 com ferramentas anteriores do grupo. O Departamento de Justiça dos EUA indiciou formalmente seis oficiais da Unidade 74455 do GRU em 2020 pelos ataques de 2015 e 2016. Em abril de 2022, o [[g0034-sandworm|Sandworm Team]] tentou usar o Industroyer v2 - uma versão atualizada - contra a Ucrânia novamente, mas o CERT-UA detectou e bloqueou o ataque antes de causar danos, demonstrando a continuidade desta linha de capacidades ofensivas russas. ## Atores Envolvidos - [[g0034-sandworm|Sandworm Team]] ## Técnicas Utilizadas - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1036-008-masquerade-file-type|T1036.008 - Masquerade File Type]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1505-001-sql-stored-procedures|T1505.001 - SQL Stored Procedures]] - [[t1136-create-account|T1136 - Creaté Account]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1036-010-masquerade-account-name|T1036.010 - Masquerade Account Name]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1098-account-manipulation|T1098 - Account Manipulation]] ## Software Utilizado - [[s0604-industroyer|Industroyer]] ## Impacto | Métrica | Dado | |---------|------| | Duração do apagão | ~75 minutos (23h58 a 01h13) | | Área afetada | Norte de Kiev e arredores (Subestação Pivnichna) | | Capacidade afetada | ~200 MW (~20% capacidade de distribuição de Kiev) | | Recuperação | Manual - operadores físicos nas subestações | | Tentativa bloqueada (2022) | Industroyer v2 detectado e neutralizado pelo CERT-UA | O módulo wiper do [[s0604-industroyer|Industroyer]] sobreescreveu registros MBR de sistemas de controle nas subestações, tentando impossibilitar o reboot dos equipamentos após o ataque. A recuperação foi possível graças à intervenção manual de técnicos nas subestações físicas, processo que levou horas. O [[g0034-sandworm|Sandworm Team]] também usou um componente de DoS contra os protocolos de comunicação ICS durante a fase de recuperação para dificultar o restabelecimento dos sistemas de controle remotos. ## Relevância LATAM/Brasil O [[s0604-industroyer|Industroyer]] representa um risco sistêmico global porque ataca protocolos industriais padronizados internacionalmente: - **Protocolos afetados no Brasil:** O IEC 60870-5-104 e IEC 61850 são amplamente usados em subestações brasileiras operadas pela ONS, CEMIG, Enel, CPFL, Eletrobras e concessionárias estaduais - **Reutilização do malware:** O [[s0604-industroyer|Industroyer]] pode atacar qualquer rede elétrica que utilize esses protocolos sem modificações significativas - o targeting é por protocolo, não por país - **ANEEL:** A Resolução Normativa nº 964/2021 da ANEEL exige avaliações de risco de segurança cibernética para concessionárias brasileiras, diretamente motivada pelos ataques ucranianos - **Precedente para regulação:** O Brasil deve considerar a obrigatoriedade de segmentação OT/IT e monitoramento de protocolos industriais em subestações como resposta ao histórico de ataques do [[g0034-sandworm|Sandworm Team]] --- *Fonte: [MITRE ATT&CK - C0025](https://attack.mitre.org/campaigns/C0025)* *Fonte: [ESET - Industroyer: Biggest threat to ICS since Stuxnet](https://www.welivesecurity.com/)* *Fonte: [Dragos - CRASHOVERRIDE: Electric Grid Attack](https://www.dragos.com/)*