# Ukraine Power Grid Attack 2015 > [!critical] Primeiro ataque cibernetico confirmado contra uma rede eletrica > Em 23 de dezembro de 2015, o grupo Sandworm desligou a energia de cerca de 230.000 consumidores na Ucrania - o primeiro ataque cibernetico comprovado a causar interrupcao real de infraestrutura eletrica em escala nacional. ## Visão Geral O ataque de 2015 a rede eletrica ucraniana representa um marco historico na guerra cibernetica moderna. Pela primeira vez, atores estatais demonstraram a capacidade de usar malware para causar apagoes eletricos reais em larga escala, afetando empresas distribuidoras nas regioes de Ivano-Frankivsk, Chernivtsi e Kiev. O ataque foi conduzido pelo [[g0034-sandworm]], grupo de ameaça persistente avancada atribuido aos servicos de inteligência russos (GRU), em pleno contexto da guerra russo-ucraniana iniciada em 2014. O uso do [[s0089-blackenergy]] como porta de entrada e a sequencia metodica de comprometimento - meses antes do ataque final - demonstrou nivel de planejamento e sofisticacao raramente observado em ataques a infraestrutura critica até aquele momento. Para defensores de infraestrutura critica no Brasil e na América Latina, este caso e referência obrigatoria: sistemas SCADA, redes de controle industrial e a convergencia entre redes IT e OT representam vetores de ataque igualmente presentes em instalacoes energeticas da regiao. ## Como o Ataque Aconteceu O ataque se desenvolveu em tres fases ao longo de meses: **Fase 1 - Comprometimento inicial (Primavera/Verao 2015):** Em abril de 2015, funcionarios das distribuidoras receberam e-mails de spear phishing com anexos Excel maliciosos. A abertura do arquivo instalou silenciosamente o [[s0089-blackenergy]] 3, criando um backdoor persistente. O malware, modular e extensivel, permitia ao Sandworm coletar credenciais de VPN, mapear a rede OT e identificar ativos industriais - tudo sem acionar alertas. **Fase 2 - Reconhecimento e preparação (Verao/Outono 2015):** Durante meses, os atacantes movimentaram-se lateralmente pela rede IT, descobriram a topologia da rede OT visivel através de conexoes IT-OT, e instalaram componentes adicionais incluindo o KillDisk para uso posterior. Credenciais de VPN foram coletadas para acesso remoto futuro. **Fase 3 - Ataque destrutivo (23 de dezembro de 2015):** Em menos de 10 minutos, os atacantes usaram credenciais VPN roubadas para acessar remotamente as IHM (Interfaces Homem-Maquina) SCADA. Abriram disjuntores em 30 subestacoes, cortando energia para 230.000 pessoas. Simultaneamente: sobrescreveram firmware de conversores serial-ethernet tornando-os irrecuperaveis, executaram KillDisk para apagar dados de servidores e workstations, desligaram UPSs do centro de controle e executaram DDoS no call center para impedir que clientes reportassem o apagao. ```mermaid graph TB A["Spear phishing<br/>Excel malicioso - Abr 2015"] --> B["Instalacao BlackEnergy 3<br/>Backdoor persistente"] B --> C["Reconhecimento IT/OT<br/>Coleta de credenciais VPN"] C --> D["Movimentação lateral<br/>Acesso a rede SCADA"] D --> E["Ataque coordenado<br/>23 Dez 2015 - 10 minutos"] E --> F["Abertura de disjuntores<br/>30 subestacoes - 230k afetados"] E --> G["KillDisk + Firmware wipe<br/>Destruicao de evidencias"] E --> H["DDoS call center<br/>Bloqueio de resposta"] F --> I["Apagao 1-6 horas<br/>Recuperacao manual"] ``` ## Attack Flow Detalhada | Fase MITRE ATT&CK | Técnica | Detalhe | |---|---|---| | Initial Access | T1566 - Phishing | Spear phishing com Excel malicioso, macros habilitadas | | Execution | T1059 - Command Scripting | PowerShell e scripts para movimentação lateral | | Persistence | T1078 - Valid Accounts | Credenciais VPN de operadores roubadas | | Discovery | T1018 - Remote System Discovery | Scan de rede OT através de conexão IT | | Lateral Movement | T1021 - Remote Services | Acesso via VPN com credenciais legitimas | | Impact | T0831 - Manipulation of Control | Abertura remota de disjuntores via IHM SCADA | | Impact | T0813 - Denial of Control | KillDisk + firmware wipe bloqueou recuperacao remota | ## Impacto e Relevância - **230.000 consumidores** sem energia por 1-6 horas - Tres empresas distribuidoras afetadas simultaneamente (Prykarpattyaoblenergo, Chernivtsioblenergo, Kyivoblenergo) - Primeiro ataque cibernetico públicamente confirmado a causar interrupcao de rede eletrica - A recuperacao foi majoritariamente **manual** - operadores tiveram que ir fisicamente as subestacoes - O ataque revelou a vulnerabilidade critica da convergencia IT/OT sem segmentacao adequada ## Conexão com 2016 e Industroyer Este ataque foi seguido em dezembro de 2016 por um segundo ataque ao sistema de transmissao ucraniano, usando o malware [[s0604-industroyer]] (também chamado CrashOverride), significativamente mais sofisticado. O Industroyer foi projetado específicamente para manipular protocolos de comunicação industrial (IEC 101, IEC 104, IEC 61850, OPC DA) sem depender das interfaces de operador. Este ataque conjunto demonstrou que 2015 foi tanto um ataque real quanto um exercicio de reconhecimento para operações futuras. ## Indicadores de Comprometimento > [!ioc]- IOCs - Ukraine Power Grid Attack 2015 (TLP:GREEN) > **Hashes BlackEnergy 3 (MD5):** > `d4e97e05c3dccd1aab54f3eb9074fe8e` > `b4f660c91efbe960e2c04b75fd7f8c6e` > > **KillDisk:** > `fba5a16ddb7bb9c793ca0b2c1869db2c` > > **C2 IPs (historicos):** > `195.16.88[.]6` > `176.31.225[.]204` > > **Comportamento caracteristico:** > - BlackEnergy carregado em `svchost.exe`, lanca `iexplore.exe` para C2 > - Firmware de conversores serial-ethernet sobrescrito com código aleatorio > - Arquivos de log apagados após ataque > > **Fontes:** [ESET Analysis](https://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/) - [SANS ICS](https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf) - [Mandiant/Google](https://cloud.google.com/blog/topics/threat-intelligence/ukraine-and-sandworm-team) ## Detecao e Defesa **Prioridades de mitigação para infraestrutura critica:** 1. **Segmentacao IT/OT obrigatoria** - Sistemas de controle SCADA NAO devem ser visiveis a partir da rede corporativa 2. **Autenticação forte para VPN** - MFA obrigatorio; credenciais de acesso VPN a sistemas industriais devem ser separadas das corporativas 3. **Monitoramento de IHM** - Alertas para acoes incomuns em interfaces de operador (especialmente fora do horario normal) 4. **Firmware de dispositivos industriais** - Verificação de integridade de firmware de conversores, RTUs e PLCs 5. **Plano de recuperacao manual** - Treinar operadores para recuperacao manual sem dependência de sistemas digitais **Deteccoes específicas para BlackEnergy:** - Monitoramento de carregamento anomalo de DLLs em `svchost.exe` - Verificação de conexoes de saida incomuns em porta 80 a partir de processos de sistema - Alertas para modificacoes de registro associadas a persistência de malware ## Referências - [1](https://attack.mitre.org/campaigns/C0028/) MITRE ATT&CK - 2015 Ukraine Electric Power Attack (C0028) (2024) - [2](https://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/) ESET WeLiveSecurity - BlackEnergy Trojan Strikes Again (2016) - [3](https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf) SANS ICS - Analysis of the Cyber Attack on the Ukrainian Power Grid (2016) - [4](https://cloud.google.com/blog/topics/threat-intelligence/ukraine-and-sandworm-team) Mandiant/Google TAG - Sandworm Team and the Ukrainian Power Authority Attacks (2016) - [5](https://en.wikipedia.org/wiki/2015_Ukraine_power_grid_hack) Wikipedia - 2015 Ukraine power grid hack - [6](https://www.isa.org/intech-home/2017/march-april/features/ukrainian-power-grids-cyberattack) ISA InTech - Ukrainian Power Grids Cyberattack (2017)