kamacite - RunkIntel

# Kamacite > [!danger] Russia GRU - Subgrupo Sandworm para Acesso Inicial em ICS > Kamacite e o grupo de acesso identificado pela Dragos como responsavel pela etapa de comprometimento IT e penetracao OT nos tres ataques ao setor eletrico ucraniano (2015, 2016 e 2022). O grupo nao executa o ataque ICS final - ele estabelece o acesso, coleta credenciais e entrega o controle a entidades de efeito como ELECTRUM. Nos blackouts de 2015 e 2016, Kamacite foi a "porta de entrada" que permitiu BlackEnergy e Industroyer causarem os primeiros cortes de energia via cyberattack da historia. ## Visão Geral Kamacite e uma designacao da Dragos para um conjunto de comportamentos relacionados que a empresa rastreia separadamente do grupo Sandworm Team mais amplo (G0034 MITRE, GRU unidade 74455). A Dragos avalia que Kamacite opera como entidade especializada em **acesso inicial e penetracao de redes industriais**, transferindo o controle operacional para outras entidades (como ELECTRUM) que executam o efeito ICS destrutivo. Esta divisao de responsabilidades - acesso por um grupo, execução por outro - e uma caracteristica operacional sofisticada que reflete maturidade de operações ofensivas ICS. Kamacite e a "frente de ataque" que cria o "caminho" para os ataques mais especializados. **Relacao com Sandworm:** A Dragos avalia com alta confiança que Kamacite tem ties diretos ao Sandworm Team do GRU russo. Entretanto, as TTPs operacionais de Kamacite sao distintas o suficiente para tracking separado. **Eventos ICS vinculados a Kamacite (Dragos):** 1. Campanha BlackEnergy2 2014 - intrusions em entidades industriais nos EUA e Europa 2. Ukraine Power Event 2015 - Kamacite facilitou a intrusão via phishing e BlackEnergy3 3. Ukraine Power Event 2016 - Kamacite penetrou o ambiente ICS e transferiu para ELECTRUM 4. Atividade contra setor energetico dos EUA (2017-presente) 5. Ukraine Power Attack 2022 - uso de Industroyer2 ## Papel no ICS Cyber Kill Chain ```mermaid graph TB A["KAMACITE - Responsabilidade Stage 1: Acesso IT Stage 2: Penetracao OT"] --> B["Phishing Inicial T1566.001 Documentos maliciosos Temas: politica ucraniana, SCADA"] B --> C["BlackEnergy/GreyEnergy RAT com plugins ICS Enumeracao e coleta"] C --> D["Credential Harvesting Mimikatz + PsExec Credenciais de admins ICS"] D --> E["Penetracao OT VPN + credenciais válidas Acesso a rede de controle"] E --> F["Handoff - Entidade de Efeito ELECTRUM recebe acesso Executa Industroyer/KillDisk"] style A fill:#c0392b,color:#fff style B fill:#2471a3,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#1a3a5c,color:#fff style F fill:#1e8449,color:#fff ``` ## Os Tres Blackouts da Ucrania | Evento | Ano | Impacto | Papel Kamacite | | ------ | --- | ------- | -------------- | | Ukraine Power Attack 1 | Dez 2015 | 230.000 consumidores sem energia por 1-6h | Phishing + BlackEnergy3 - preparou acesso 6 meses antes | | Ukraine Power Attack 2 | Dez 2016 | 1/5 de Kiev sem energia por 1h | Penetrou ICS, transferiu para ELECTRUM + Industroyer | | Ukraine Power Attack 3 | Abr 2022 | Tentativa de blackout com Industroyer2 | Acesso e staging, ESET/CERT-UA bloquearam antes | ## Timeline ```mermaid timeline title Kamacite - Cronologia 2014 : BLACKENERGY2 - intrusions industriais EUA e Europa Maio 2014 : Phishing inicial contra utilities ucranianas (6 meses pre-ataque) Dez 2015 : Ukraine Power Attack 1 - 230k consumidores sem energia 2015-2016 : Reconhecimento continuado, desenvolvimento de Industroyer Dez 2016 : Ukraine Power Attack 2 - handoff para ELECTRUM + Industroyer 2017-2020 : Atividade contra setor energetico EUA e Europa Ocidental Fev 2021 : Dragos divulga Kamacite no ICS Cybersecurity 2020 Year in Review Abr 2022 : Ukraine Power Attack 3 - Industroyer2, bloqueado por CERT-UA 2024 : Grupo permanece ativo - operacoes continuadas documentadas ``` ## Arsenal e Toolset ### BlackEnergy - A Evolução ```mermaid graph TB A["BlackEnergy 1 (2007) DDoS crimeware Uso inicial por Sandworm"] --> B["BlackEnergy 2 (2010-2014) Plugins ICS Enumeracao de SCADA"] B --> C["BlackEnergy 3 (2014-2016) Modular e furtivo Ukraine 2015 - spearphishing"] C --> D["GreyEnergy (2015-2018) Successor ao BE3 Mais evasivo, modular"] D --> E["Industroyer / CrashOverride (2016) Primeiro malware ICS Protocolos: IEC 104, IEC 101, 61850"] E --> F["Industroyer2 (2022) Refatorado, mais direto Bloqueado pre-execução"] style A fill:#1a3a5c,color:#fff style B fill:#2471a3,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#c0392b,color:#fff style F fill:#922b21,color:#fff ``` ## TTPs Detalhadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - documentos maliciosos com temas politicos ucranianos e de conferencias técnicas - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais VPN e sistemas capturadas para acesso OT - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - Mimikatz para captura de credenciais de admins ICS - [[t1021-001-remote-desktop-protocol|T1021.001 - RDP]] - movimento lateral via RDP em redes comprometidas - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - transferencia de ferramentas via rede ICS comprometida (VBS scripts) - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - download de ferramentas adicionais pos-acesso - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - persistência via tarefas agendadas em sistemas Windows - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de scripts para movimentação e coleta ## Software Utilizado - [[s0089-blackenergy|BlackEnergy]] - familia de malware modular com capacidades ICS (BE2 com plugins SCADA) - [[greyenergy|GreyEnergy]] - successor ao BlackEnergy3, mais evasivo e modular - [[s0604-industroyer|Industroyer]] - primeiro malware ICS que conhece protocolos industriais nativamente - [[industroyer2|Industroyer2]] - versao refatorada usada no ataque de 2022 contra Ukraine - [[s0607-killdisk|KillDisk]] - wiper para destruir sistemas e impossibilitar recuperacao - [[mimikatz|Mimikatz]] - coleta de credenciais de admins ICS - [[psexec|PsExec]] - execução remota e movimento lateral em redes Windows ## Relevância para o Brasil e LATAM Kamacite representa um risco sistemico para qualquer utility eletrico com redes IT e OT interconectadas - realidade prevalente no Brasil. O padrao de comprometimento de **6 meses antes do ataque** (documentado no Ukraine 2015) ilustra que o grupo opera com horizonte de longo prazo, tornando detecção precoce fundamental. A ANEEL e o ONS (Operador Nacional do Sistema Eletrico) manteem infrastructura SCADA para gerenciamento da rede eletrica brasileira - exatamente o tipo de sistema que Kamacite demonstrou capacidade de comprometer. Distribuidoras como CEMIG, CPFL, Energisa e ENEL Brasil operam sistemas de controle que podem ser alvo de campanhas de reconhecimento similares as documentadas nos EUA e Europa. O vetor de phishing com temas setoriais e igualmente relevante: eventos como o SNPTEE (Seminario Nacional de Producao e Transmissao de Energia Eletrica) e públicacoes técnicas setoriais podem ser usados como iscas em campanhas de spearphishing contra engenheiros de utilities brasileiros. > [!warning] Setor Eletrico Brasileiro em Risco > Utilities com historico de presenca internacional ou exposicao a conflitos geopoliticos envolvendo Russia/Ucrania devem considerar sua postura de segurança OT. Prioridade: segmentacao rigorosa IT/OT, MFA em todos os acessos VPN, monitoramento de autenticação anormal em sistemas de controle, e revisao de configuração de historian de dados (ponto critico de pivot no ataque 2017). ## Detecção e Hunting - Monitorar spearphishing com documentos Office contendo macros - especialmente com temas setoriais eletricos - Alertar para connexoes VPN fora de horario comercial ou de IPs nao catalogados - Detectar BlackEnergy/GreyEnergy via hashes conhecidos e comportamento de processo - Hunting por KillDisk: processos de escrita em MBR ou wiping de logs de sistema - Monitorar uso de PsExec em redes OT - raramente legitimo em ambientes de controle - Implementar IDS para protocolos IEC 104, Modbus, DNP3 em redes industriais ## Referências - [1](https://www.dragos.com/blog/new-ics-threat-activity-group-kamacite) Dragos - New ICS Threat Activity Group: KAMACITE (2021) - [2](https://attack.mitre.org/campaigns/C0025/) MITRE ATT&CK - C0025 2016 Ukraine Electric Power Attack - [3](https://en.wikipedia.org/wiki/Industroyer) Wikipedia - Industroyer / CrashOverride Malware - [4](https://jsis.washington.edu/news/cyberattack-critical-infrastructure-russia-ukrainian-power-grid-attacks/) JSIS - Russia and the Ukrainian Power Grid Attacks Analysis - [5](https://nsarchive.gwu.edu/sites/default/files/documents/3891751/SANS-and-Electricity-Information-Sharing-and.pdf) SANS/E-ISAC - Analysis of the Cyber Attack on the Ukrainian Power Grid (2016) - [6](https://attack.mitre.org/groups/G0034/) MITRE ATT&CK - G0034 Sandworm Team