# 2022 Ukraine Electric Power Attack ## Descrição Em abril de 2022 - durante a invasão russa em larga escala da Ucrânia - o [[g0034-sandworm|Sandworm Team]] conduziu uma terceira tentativa de ataque contra a infraestrutura elétrica ucraniana, mais ambiciosa que as anteriores. O grupo comprometeu uma concessionária de energia ucraniana e, a partir de seu sistema SCADA, tentou enviar comandos não autorizados para desligar subestações elétricas de alta tensão (110 kV e 330 kV). O objetivo declarado era deixar 2 milhões de pessoas sem energia em pleno inverno europeu. O [[g0034-sandworm|Sandworm Team]] utilizou uma combinação de malwares e técnicas: GOGETTER (variante personalizada do web shell Regeorg) para tunelamento de tráfego, Neo-REGEORG para tunneling alternativo, e o wiper [[s0693-caddywiper|CaddyWiper]] para destruir dados e dificultar a recuperação após o ataque. O CERT-UA detectou e respondeu antes que o ataque fosse concluído, bloqueando a fase de impacto. Esta campanha introduziu uma variante atualizada do [[s0604-industroyer|Industroyer]] (denominada Industroyer2) específicamente desenvolvida para atacar subestações ucranianas - demonstrando que o [[g0034-sandworm|Sandworm Team]] manteve desenvolvimento contínuo de capacidades ICS ao longo de seis anos. O Industroyer2 foi configurado para atacar subestações específicas com endereços IP hardcoded, indicando reconhecimento prévio detalhado da infraestrutura-alvo. O CERT-UA descobriu o Industroyer2 plantado nos sistemas da concessionária e alertou as autoridades antes da hora programada de execução - o ataque estava agendado para ocorrer na madrugada de 8 de abril de 2022. A campanha de 2022 representa a evolução mais complexa da série de ataques ucranianos à infraestrutura elétrica: pela primeira vez, o [[g0034-sandworm|Sandworm Team]] combinou ICS malware (Industroyer2), wiper de TI (CaddyWiper) e técnicas de evasão sofisticadas em um ataque coordenado único. A resposta bem-sucedida do CERT-UA em parceria com a ESET e a Microsoft demonstrou que defesas cibernéticas proativas e compartilhamento de inteligência entre aliados podem neutralizar ataques de estados-nação mesmo em cenários de guerra ativa. ## Atores Envolvidos - [[g0034-sandworm|Sandworm Team]] ## Técnicas Utilizadas - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1543-002-systemd-service|T1543.002 - Systemd Service]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1485-data-destruction|T1485 - Data Destruction]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1484-001-group-policy-modification|T1484.001 - Group Policy Modification]] ## Software Utilizado - [[s0693-caddywiper|CaddyWiper]] ## Impacto O ataque foi interceptado pelo CERT-UA em parceria com a ESET e a Microsoft antes de completar sua fase de impacto. A concessionária-alvo não sofreu interrupção de energia, tornando este um caso raro de ataque ICS bem-sucedido em termos de comprometimento mas bloqueado na fase de execução final. | Métrica | Dado | |---------|------| | Impacto em energia | Nenhum - ataque bloqueado pelo CERT-UA | | Objetivo não concluído | Desligar subestações de 110kV e 330kV servindo 2 milhões de pessoas | | Malware ICS encontrado | Industroyer2 com IPs de subestações hardcoded | | Wiper TI encontrado | CaddyWiper em múltiplos sistemas da concessionária | | Data de execução programada | 8 de abril de 2022, madrugada | O sucesso do CERT-UA em neutralizar este ataque - durante uma guerra ativa contra a Rússia - demonstrou que compartilhamento de inteligência em tempo real e capacidade de resposta rápida podem ser eficazes mesmo contra adversários de estado-nação altamente capazes. A ESET realizou engenharia reversa do Industroyer2 e confirmou ser uma variante nova mas relacionada ao Industroyer de 2016. ## Relevância LATAM/Brasil - A série de ataques à rede elétrica ucraniana é o conjunto de dados de referência mais importante para formuladores de política de segurança de infraestrutura crítica no Brasil e na LATAM - A capacidade do [[g0034-sandworm|Sandworm Team]] de adaptar o Industroyer para subestações específicas (IPs hardcoded) implica que qualquer adversário com reconhecimento suficiente pode criar variantes para redes elétricas específicas em qualquer país - A ONS (Operador Nacional do Sistema Elétrico) e o CGSI (Centro de Gestão e Segurança da Informação) do MME devem usar este caso como referência para exercícios de simulação de ataque ICS - Organizações como Eletrobras, CEMIG e concessionárias com sistemas SCADA expostos devem implementar monitoramento de integridade de firmware e segmentação OT/IT como prioridade --- *Fonte: [MITRE ATT&CK - C0034](https://attack.mitre.org/campaigns/C0034)* *Fonte: [ESET - Industroyer2 targeting Ukrainian energy company](https://www.welivesecurity.com/)* *Fonte: [CERT-UA - Alert sobre Industroyer2 (April 2022)](https://cert.gov.ua/)*