# Industroyer - Apagão Ucraniano 2016 ## Visão Geral Em **17 de dezembro de 2016**, Kiev e arredores sofreram um apagão elétrico de aproximadamente 75 minutos. A interrupção foi causada pelo malware [[s0604-industroyer]] - também conhecido como **CRASHOVERRIDE** - implantado na infraestrutura da companhia elétrica ucraniana **Ukrenergo** pelo grupo [[g0034-sandworm|Sandworm]]. O ataque representou um marco histórico: foi a **primeira vez que malware foi usado com sucesso para derrubar uma rede elétrica**, comúnicando-se diretamente com equipamentos industriais (ICS/SCADA) usando protocolos nativos do setor elétrico, sem necessidade de exploits. ## Contexto - Campanha Anterior com BlackEnergy O ataque de 2016 foi precedido por uma campanha de reconhecimento e preparação que utilizou o [[s0089-blackenergy]], malware também associado ao [[g0034-sandworm|Sandworm]]: - **Dezembro de 2015**: Primeiro apagão ucraniano - [[s0089-blackenergy]] desabilitou sistemas de controle em três distribuidoras regionais, afetando ~230.000 clientes por horas - **2016**: [[g0034-sandworm|Sandworm]] manteve acesso persistente na infraestrutura da Ukrenergo enquanto implantava o [[s0604-industroyer]] O [[s0089-blackenergy]] serviu como ferramenta de acesso inicial e reconhecimento (`[[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]]`), enquanto o [[s0604-industroyer]] foi o payload final do ataque ao sistema elétrico. ## Capacidades Técnicas do Industroyer O [[s0604-industroyer]] foi projetado específicamente para atacar infraestrutura elétrica. Suas capacidades únicas incluem: ### Comúnicação nativa com ICS O malware implementava quatro protocolos industriais nativos do setor elétrico: | Protocolo | Uso | |-----------|-----| | **IEC 60870-5-104** | Controle de subestações (TCP/IP) - protocolo utilizado no ataque | | **IEC 60870-5-101** | Controle de subestações (serial) | | **IEC 61850** | Comúnicação entre equipamentos de subestação | | **OPC DA** | Protocolo Windows para dados industriais | A capacidade de falar os protocolos nativos do setor elétrico sem exploits customizados tornou o [[s0604-industroyer]] extraordinariamente portátil - potencialmente reutilizável contra qualquer subestação que utilizasse esses protocolos, em qualquer país. ### Arquitetura modular O malware era composto por módulos independentes: - **Backdoor principal**: mantinha acesso persistente e comunicação com C2 - **Launcher**: orquestrava os módulos de ataque - **Módulos de protocolo ICS**: um módulo por protocolo industrial - **Módulo de limpeza (wiper)**: apagava arquivos do sistema para dificultar recuperação (`[[t1485-data-destruction|T1485 - Data Destruction]]`) - **Scanner de portas**: mapeava dispositivos ICS na rede ### Execução do ataque O [[s0604-industroyer]] executava comandos diretamente para os **disjuntores (circuit breakers)** das subestações, enviando comandos de abertura via IEC 60870-5-104 (`[[t1489-service-stop|T1489 - Service Stop]]`). Os operadores humanos perderam controle dos painéis de controle - o sistema respondia apenas ao malware. O módulo de comunicação usava `[[t1071-application-layer-protocol|T1071 - Application Layer Protocol]]` para se disfarçar como tráfego legítimo de controle industrial. ## Linha do Tempo | Data | Evento | |------|--------| | 2015-12-23 | Primeiro apagão ucraniano via [[s0089-blackenergy]] - 230.000 afetados | | 2016 (ano todo) | [[g0034-sandworm\|Sandworm]] mantém acesso à Ukrenergo; implanta [[s0604-industroyer]] | | 2016-12-17 23h58 | Apagão em Kiev - subestação Pivnichna desligada remotamente | | 2016-12-18 01h13 | Energia restaurada (~75 minutos de interrupção) | | 2017-06 | ESET pública análise técnica do [[s0604-industroyer]]/CRASHOVERRIDE | | 2017-06 | Dragos pública análise do CRASHOVERRIDE em paralelo | | 2022-04 | [[g0034-sandworm\|Sandworm]] tenta usar [[s0604-industroyer]] v2 contra Ucrânia novamente (bloqueado pelo CERT-UA) | ## Impacto | Métrica | Dado | |---------|------| | Duração do apagão | ~75 minutos (23h58 a 01h13) | | Área afetada | Norte de Kiev e arredores | | Capacidade afetada | ~200 MW (~20% da capacidade de distribuição de Kiev) | | Recuperação | Manual - operadores físicos nas subestações | A recuperação foi relativamente rápida porque os operadores conseguiram assumir o controle manual das subestações. O módulo wiper do [[s0604-industroyer]] tentou apagar configurações do sistema para retardar a recuperação, mas o impacto foi limitado. ## TTPs Utilizadas | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Application Layer Protocol | [[t1071-application-layer-protocol\|T1071 - Application Layer Protocol]] | Comúnicação C2 disfarçada em tráfego ICS legítimo | | Command and Scripting Interpreter | [[t1059-command-scripting-interpreter\|T1059 - Command and Scripting Interpreter]] | BlackEnergy para reconhecimento inicial | | Service Stop | [[t1489-service-stop\|T1489 - Service Stop]] | Envio de comandos de abertura para disjuntores via IEC 104 | | Data Destruction | [[t1485-data-destruction\|T1485 - Data Destruction]] | Módulo wiper apagava arquivos de configuração | | Impair Process Control | T0806 | Envio de comandos maliciosos para sistemas ICS (MITRE ATT&CK for ICS) | ## Atribuição O ataque foi atribuído ao [[g0034-sandworm|Sandworm]] com base em: - **Sobreposição de código**: componentes do [[s0604-industroyer]] compartilham código com ferramentas anteriores do [[g0034-sandworm|Sandworm]] - **Infraestrutura C2**: servidores de comando utilizados em campanhas anteriores do grupo - **ESET e Dragos** (2017): análise técnica independente com conclusões convergentes - **Governo ucraniano (SBU)**: atribuição formal em 2017 - **US DoJ** (2020): indiciamento de seis oficiais da GRU identificados como [[g0034-sandworm|Sandworm]] ## Relevância para Infraestrutura Crítica Global O [[s0604-industroyer]] demonstrou que: 1. **Protocolos ICS são inerentemente inseguros** - projetados para ambientes air-gapped, não para redes conectadas 2. **Ataques a ICS não precisam de exploits** - conhecimento dos protocolos é suficiente 3. **Portabilidade global** - os protocolos atacados são usados em subestações no mundo inteiro, incluindo [[latam|Brasil]] e [[latam|América Latina]] 4. **Impacto físico real** - a fronteira entre o mundo digital e físico foi cruzada com sucesso O grupo [[g0034-sandworm|Sandworm]] tentou repetir o ataque em **abril de 2022**, durante a invasão russa da Ucrânia, com uma versão atualizada chamada [[s0604-industroyer]] v2 - detectada e bloqueada pelo CERT-UA antes de causar danos. ## Conexão com Outras Campanhas - Precedeu e preparou o terreno para o [[notpetya-2017|NotPetya 2017]] - [[g0034-sandworm|Sandworm]] mantinha acesso à infraestrutura ucraniana - [[s0089-blackenergy]] usado como ferramenta de acesso inicial em ambas as campanhas - Demonstrou a escalada progressiva das capacidades do [[g0034-sandworm|Sandworm]] contra a Ucrânia ## Referências - ESET Research - "Industroyer: Biggest threat to industrial control systems since Stuxnet" (2017) - Dragos - "CRASHOVERRIDE: Analysis of the Threat to Electric Grid Operations" (2017) - US DoJ - Indictment of GRU Unit 74455 Officers (2020) - CERT-UA - Alert sobre Industroyer v2 (2022) - Wired - "The Ukrainian Power Grid Was Hacked Again" (2017)