# Ukraine Power Grid Attack 2016 > [!critical] > Em 17 de dezembro de 2016, o grupo **Sandworm** (GRU) desligou uma subestação de transmissão em Kiev usando o malware **Industroyer** (também chamado CrashOverride) — o primeiro malware projetado específicamente para manipular sistemas de controle industrial de energia elétrica. O ataque durou apenas uma hora, mas representou um salto qualitativo massivo em capacidade ofensiva contra infraestrutura crítica. ## Visão Geral O ataque de 2016 à rede elétrica ucraniana, executado exatamente um ano após o [[ukraine-power-grid-attack-2015|ataque de 2015]], foi técnicamente mais sofisticado e representou um salto qualitativo na história da guerra cibernética. Enquanto o ataque de 2015 dependia de operadores humanos manipulando interfaces SCADA com credenciais roubadas, o [[s0604-industroyer]] foi projetado para **comúnicar-se diretamente com protocolos industriais** usados em subestações de energia, sem necessidade de interação humana. O [[g0034-sandworm]] (GRU, Unidade 74455) implantou o [[s0604-industroyer]] na subestação de transmissão de Pivnichna (Norte) em Kiev. O malware suportava quatro protocolos de comunicação industrial: IEC 101, IEC 104, IEC 61850 e OPC DA — os principais protocolos usados em subestações elétricas na Europa e em grande parte do mundo. Isso significava que o [[s0604-industroyer]] era **reutilizável contra qualquer subestação que usasse esses protocolos**, independentemente do fabricante do equipamento. O ataque ocorreu na madrugada de 17 de dezembro de 2016, causando um apagão de aproximadamente uma hora em parte de Kiev. Embora o impacto imediato tenha sido menor que o de 2015, o [[s0604-industroyer]] incluía também um módulo wiper (KillDisk) para destruir sistemas de controle após o ataque, visando dificultar a recuperação. Analistas do ESET e da Dragos (que chamou o malware de CrashOverride) públicaram análises detalhadas em junho de 2017, revelando que o [[s0604-industroyer]] havia sido desenhado com capacidade para ataques muito mais destrutivos do que o executado. Em 2022, uma versão atualizada do malware — denominada **Industroyer2** — foi descoberta em infraestrutura ucraniana horas antes de um ataque planejado, que foi prevenido pela CERT-UA e Slovakei com apoio do ESET. ## Attack Flow ```mermaid graph TB A["🔐 Acesso Inicial<br/>Comprometimento de rede corporativa<br/>da distribuidora ucraniana"] --> B["🔍 Movimentação Lateral<br/>Reconhecimento da rede OT<br/>e subestação alvo"] B --> C["💉 Implantação do Industroyer<br/>Malware deployado na rede<br/>da subestação Pivnichna"] C --> D["📡 Comúnicação via Protocolos ICS<br/>IEC 101/104, IEC 61850<br/>OPC DA - sem operador humano"] D --> E["⚡ Abertura de Disjuntores<br/>Subestação desligada<br/>17 Dez 2016 - 01h00"] E --> F["🗑️ KillDisk Module<br/>Destruição de sistemas<br/>de controle pós-ataque"] ``` ## Cronologia ```mermaid timeline title Ukraine Power Grid Attack 2016 - Linha do Tempo Dez 2015 : Primeiro ataque Sandworm à rede elétrica : BlackEnergy/KillDisk - 230k afetados 2016 : Desenvolvimento do Industroyer pelo Sandworm : Implantação silenciosa na rede ucraniana 17 Dez 2016 : 01h00 - Subestação Pivnichna offline : Kiev: apagão de ~1 hora : KillDisk: sistemas de controle destruídos Jun 2017 : ESET e Dragos publicam análises do Industroyer : Capacidade multiprotocolo revelada ao público Abr 2022 : Industroyer2 descoberto na Ucrânia : Ataque prevenido por CERT-UA e ESET Jun 2022 : EUA indicia membros do Sandworm : GRU Unidade 74455 formalmente atribuída ``` ## TTPs Principais | Tática | Técnica | Detalhe | |--------|---------|---------| | Acesso Inicial | [[T1078-valid-accounts\|T1078]] | Credenciais válidas para acessar rede da subestação | | Execução ICS | Protocolo IEC 101/104 | Industroyer se comúnica diretamente com RTUs via protocolo serial | | Execução ICS | Protocolo IEC 61850 | Controle de disjuntores via protocolo de subestação moderno | | Execução ICS | Protocolo OPC DA | Interface com sistemas SCADA baseados em Windows | | Impacto | [[T1485-data-destruction\|T1485]] | KillDisk destrói sistemas de controle após ataque | | Persistência | Serviço Windows disfarçado | Industroyer instalado como serviço legítimo do sistema | | Evasão | Protocolo industrial nativo | Comúnicação via protocolo legítimo evita detecção de SIEM | ## Vítimas e Impacto - **Subestação de transmissão Pivnichna (Norte) em Kiev**: offline por ~1 hora - **Estimativa de afetados**: aproximadamente 200.000 consumidores (menor escala que 2015) - **Impacto real vs. potencial**: o Industroyer foi calibrado para impacto limitado; sua capacidade real era muito maior - **Destrutividade**: módulo KillDisk destruiu sistemas de controle, forçando recuperação demorada - **Legado**: primeira arma cibernética projetada específicamente para protocolos de controle industrial elétrico ## Relevância LATAM O [[s0604-industroyer]] e seu sucessor Industroyer2 representam a maior ameaça documentada a infraestrutura elétrica. O Brasil possui a maior rede elétrica interligada da América do Sul (Sistema Interligado Nacional), com subestações que usam os mesmos protocolos IEC 61850, IEC 101/104 e OPC DA explorados pelo [[g0034-sandworm]]. Embora o grupo não opere ativamente no LATAM, as técnicas são amplamente disponíveis e variantes do [[s0604-industroyer]] poderiam ser adaptadas para qualquer infraestrutura que use esses protocolos. O [[energy|setor energético]] brasileiro (Eletrobras, Cemig, Copel, CPFL) deve tratar a segmentação IT/OT como prioridade crítica. ## Mitigação - Implementar segmentação rigorosa entre redes IT e OT em subestações — sem conectividade direta - Monitorar tráfego IEC 101/104, IEC 61850 e OPC DA para comandos anômalos (especialmente fora de horário operacional) - Implementar lista de permitidos para origem de comandos de controle de disjuntores - Auditar e atualizar firmware de RTUs, PLCs e IEDs em subestações regularmente - Desenvolver playbooks de resposta a incidentes OT específicos para cenários de ataque a subestações - Consultar guias CISA/NERC CIP para controles mínimos em infraestrutura elétrica crítica ## Referências - [1](https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/) ESET - Industroyer: Biggest Threat to ICS since Stuxnet (2017) - [2](https://www.dragos.com/resource/crashoverride-analyzing-the-malware-to-attack-ukraines-power-grid/) Dragos - CrashOverride: Analyzing the Malware to Attack Ukraine's Power Grid (2017) - [3](https://attack.mitre.org/groups/G0034/) MITRE ATT&CK - Sandworm Team (G0034) - [4](https://www.cisa.gov/news-events/ics-advisories/icsa-22-103-01) CISA ICS Advisory - Industroyer2 (2022) - [5](https://www.mandiant.com/resources/blog/industroyer2-industroyer-reloaded) Mandiant - Industroyer2: Industroyer Reloaded (2022)