# BlackEnergy > Tipo: **botnet/framework modular** · S0089 · [MITRE ATT&CK](https://attack.mitre.org/software/S0089) ## Visão Geral [[s0089-blackenergy|BlackEnergy]] e um toolkit de malware com historia de 17 anos que evoluiu de um simples construtor de botnets DDoS para uma plataforma modular de espionagem e sabotagem de infraestrutura critica. Criado em 2007 pelo desenvolvedor russo Dmytro Oleksiuk (alias "Cr4sh") e originalmente vendido em forums de crime cibernético como uma ferramenta de DDoS-for-hire, o BlackEnergy foi subsequentemente adaptado pelo [[g0034-sandworm|Sandworm Team]] (GRU Unit 74455) para operações sofisticadas de espionagem e sabotagem contra a OTAN, Ucrania, Polonia e paises do Leste Europeu. O BlackEnergy evoluiu por tres geracoes principais. O **BlackEnergy 1** (BE1, 2007-2010) era um construtor de botnets DDoS relativamente simples, notable por ter sido usado por grupos pro-russos durante o conflito Russia-Georgia de 2008. O **BlackEnergy 2** (BE2, 2010-2014) introduziu uma arquitetura modular com kernel-mode rootkit e sistema de plugins persistentes, tornando-se uma plataforma de espionagem avancada. O **BlackEnergy 3** (BE3, 2014-2016) removeu o componente rootkit para maior portabilidade e velocidade de deployment, adicionando plugins criticos incluindo o **KillDisk** - um wiper que destroi dados e sobrescreve o MBR - e **Siemens EnergyIP**, um módulo específico para sistemas ICS/SCADA. O momento definidor do BlackEnergy foi o **ataque a rede eletrica ucraniana em dezembro de 2015**: usando o plugin BlackEnergy ICS para interagir com sistemas SCADA da Prykarpattiaoblenergo, o Sandworm desligou subestacoes eletricas remotamente, deixando 225.000 pessoas sem energia por 1-6 horas no inverno ucraniano - o primeiro ataque cibernetico documentado a causar apagao em rede eletrica. O BlackEnergy foi o precursor direto do [[s0604-industroyer|Industroyer]] (2016) e [[industroyer2|Industroyer2]] (2022). **Plataformas:** Windows ## Como Funciona A arquitetura do BlackEnergy 3 (a versao mais usada em ataques ICS) tem quatro componentes: **1. Dropper e Instalador:** - Distribuido via documentos Word/Excel com exploits ou spear-phishing - Instala-se como servico Windows com nome que imita servicos legitimos - Persiste via modificacao de LNK/shortcut (T1547.009) - Bypassa UAC (T1548.002) para privilegios elevados **2. Core do Bot:** - Comúnica com C2 via HTTP encriptado (POST com dados codificados em Base64) - Injeta DLL em processos legitimoses como `svchost.exe` (T1055.001) para evasão - Suporta atualização de módulos e configuração remota - Implementa verificação de assinatura de código customizada para módulos **3. Sistema de Plugins (extensao modular):** - `ps` - Port scanner de rede interna - `ss` - Screenshot capture (T1113) - `fs` - File system interaction e exfiltração - `sn` - Network sniffer para captura de credenciais - `si` - System information collector - `jn` - Plugin para sistemas ICS/SCADA (interface com EnergyIP) - `ki` - Keylogger - `bs` - Backdoor SSH adicional - `killdisk` - Wiper destrutivo: sobrescreve MBR e arquivos em disco **4. Módulo ICS (BE3 específico):** - Interface com o sistema SCADA Siemens EnergyIP - Leitura e escrita em registradores de RTUs - Envio de comandos de controle a subestacoes eletricas - Coleta de dados operacionais do sistema eletrico ## Attack Flow ```mermaid graph TB A["Spear-Phishing<br/>Documentos Word/Excel<br/>com exploits ou macros"] --> B["Instalacao Servico<br/>BlackEnergy instalado<br/>como servico Windows"] B --> C["Injecao DLL<br/>Core do bot em svchost.exe<br/>evasão de detecção"] C --> D["Reconhecimento OT<br/>Plugin ps - mapeamento<br/>de rede ICS/SCADA"] D --> E["Acesso ICS<br/>Plugin jn - interface<br/>com sistemas SCADA Siemens"] E --> F["Sabotagem<br/>Desligamento de<br/>subestacoes eletricas"] F --> G["KillDisk<br/>Destroi MBR e dados<br/>dificulta recuperacao"] classDef init fill:#1a5276,color:#fff,stroke:#154360 classDef install fill:#7f8c8d,color:#fff,stroke:#626567 classDef inject fill:#8e44ad,color:#fff,stroke:#6c3483 classDef recon fill:#2c3e50,color:#fff,stroke:#1a252f classDef ics fill:#c0392b,color:#fff,stroke:#922b21 classDef attack fill:#922b21,color:#fff,stroke:#6e2318 classDef kill fill:#641e16,color:#fff,stroke:#4a1010 class A init class B install class C inject class D recon class E ics class F attack class G kill ``` **Nota:** Atribuido ao [[g0034-sandworm|Sandworm Team]] pela ESET, iSIGHT Partners, Dragos e atribuicao formal dos governos dos EUA e UK. ## Timeline das Versoes e Campanhas ```mermaid timeline title BlackEnergy - 17 Anos de Evolução 2007 : BlackEnergy 1 criado por Dmytro Oleksiuk (Cr4sh) - DDoS botnet 2008 : Usado em ataques DDoS durante conflito Russia-Georgia 2010 : BlackEnergy 2 - arquitetura modular com rootkit kernel 2014 : BlackEnergy 3 - sem rootkit, plugins ICS adicionados 2015-12 : Ataque a rede eletrica Ucrania - 225 000 pessoas sem energia 2016-12 : Industroyer substitui BlackEnergy nos ataques a redes eletricas 2016-12 : KillDisk usado após ataque de 2016 para limpar evidencias 2022 : Industroyer2 - evolução moderna do mesmo grupo (Sandworm) ``` ## Técnicas MITRE ATT&CK | Técnica | Descrição | |---------|-----------| | [[t1055-001-dynamic-link-library-injection\|T1055.001]] | DLL Injection - core injetado em svchost.exe | | [[t1548-002-bypass-user-account-control\|T1548.002]] | Bypass UAC - elevação de privilegios | | [[t1547-009-shortcut-modification\|T1547.009]] | Shortcut Modification - persistência via LNK | | [[t1113-screen-capture\|T1113]] | Screen Capture - plugin ss para espionagem | | [[t1046-network-service-discovery\|T1046]] | Network Service Discovery - plugin ps | | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Credenciais de navegadores - roubo de acesso | | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | SMB Admin Shares - movimentação lateral | | [[t1070-indicator-removal\|T1070]] | Indicator Removal - limpeza de rastros | ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] (GRU Unit 74455 - atribuicao ESET, iSIGHT, Dragos, EUA e UK) ## Malware Associado - [[s0607-killdisk|KillDisk]] - plugin destrutivo integrado ao BlackEnergy 3 - [[s0604-industroyer|Industroyer]] (CRASHOVERRIDE) - substituto especializado em ICS (2016) - [[industroyer2|Industroyer2]] - sucessor de 2022 (protocolo IEC-104) - [[s0368-notpetya|NotPetya]] - cyberarma destrutiva subsequente do mesmo grupo (2017) - [[s1165-frostygoop|FrostyGoop]] - sucessor tecnico para Modbus TCP (2024) ## Detecção A detecção do BlackEnergy e desafiadora devido ao seu carater modular e ao uso de processos legitimos para evasão: **Indicadores no endpoint:** - Sysmon Event ID 7 (Image Load): DLLs carregadas por `svchost.exe` de diretorios incomuns (`%TEMP%`, `%APPDATA%`) - Event ID 7045 (New Service Installed): criação de servico com nome que imita servicos Windows legitimos - Sysmon Event ID 3 (Network Connection): conexoes HTTP POST em intervalos regulares para IPs externos nao categorizados **Indicadores na rede:** - Trafego HTTP POST com corpo codificado em Base64 para IPs sem reputacao - Varredura de portas internas (plugin ps) a partir de um único host - Comúnicacoes entre rede corporativa e rede OT/ICS nao autorizadas **Na rede OT:** - Comandos SCADA incomuns (leitura/escrita em registradores fora do padrao operacional) - Alteracoes de configuração em RTUs e subestacoes sem aprovacao de mudança - Plataformas OT-nativas (Dragos, Claroty) com analytics de protocolo ICS sao essenciais ## Relevância LATAM/Brasil O [[s0089-blackenergy|BlackEnergy]] e de alta relevância para o Brasil como caso de estudo e como vetor de ameaça potencial. O Brasil possui a maior rede eletrica da América Latina, com sistemas SCADA/ICS em subestacoes que utilizam os mesmos protocolos e softwares atacados na Ucrania. Empresas como [[eletrobras|Eletrobras]], [[copel|Copel]], [[cemig|Cemig]], [[cpfl|CPFL]] e [[light|Light]] operam redes de alta tensao com sistemas que possuem superficies de ataque analogas as exploradas pelo BlackEnergy. O ataque de 2015 a rede eletrica ucraniana, precedido por **meses de acesso silencioso** e reconhecimento via spear-phishing, demonstra que a superficie de ataque critica e o **vetor humano e de email corporativo** - nao apenas as redes OT isoladas. Equipipes de segurança de concessionarias brasileiras devem incluir o modelo BlackEnergy em treinamentos de reconhecimento de spear-phishing e nos seus exercicios de simulacao de ataques (tabletop exercises), especialmente considerando que a ANEEL e o ONS possuem diretrizes de cibersegurança que refernciam exatamente este tipo de cenário. > [!warning] Relevância para Infraestrutura Brasileira > O Brasil opera sistemas SCADA Siemens EnergyIP em subestacoes do setor eletrico - exatamente o alvo do plugin ICS do BlackEnergy 3 no ataque ucraniano de 2015. Concessionarias devem revisar a segmentacao IT/OT e monitoramento de protocolo SCADA como prioridade. ## Referências - [MITRE ATT&CK - S0089](https://attack.mitre.org/software/S0089) - [ESET - BlackEnergy & Quedas de Energia na Ucrania](https://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-ukrainian-power-companies/) - [ICS-CERT - Alert (IR-ALERT-H-16-056-01) Cyber-Attack Against Ukrainian Critical Infrastructure](https://www.cisa.gov/news-events/ics-alerts/ir-alert-h-16-056-01) - [Dragos - ELECTRUM Threat Group Analysis](https://www.dragos.com/threat/electrum/) - [iSIGHT Partners - Sandworm Team Attribution](https://www.mandiant.com/resources/blog/apt28-a-window-into-russias-cyber-espionage-operations) - [US-CERT - Alert TA16-091A - Ransomware and Recent Cyber Incidents](https://www.cisa.gov/news-events/alerts/2016/03/31/blackenergy-2-malware-analysis)