s0604-industroyer - RunkIntel

# Industroyer > [!critical] Primeira Ciberarma ICS para Redes Elétricas - Apagão de Kiev 2016 > Industroyer (CRASHOVERRIDE) é o primeiro malware desenvolvido específicamente para atacar redes elétricas, causando um blecaute real em Kiev em dezembro de 2016. Desenvolvido pelo [[g0034-sandworm|Sandworm Team]] (GRU Unit 74455), o Industroyer implementou quatro módulos de protocolo industrial separados para atacar simultaneamente IEC-104, IEC-101, IEC-61850 e OPC DA - os protocolos dominantes em subestações de alta tensão europeias e globais. Seu sucessor direto, [[industroyer2|Industroyer2]], foi descoberto em 2022 em tentativa interceptada contra infraestrutura elétrica ucraniana. ## Visão Geral Industroyer (MITRE S0604, também conhecido como CRASHOVERRIDE ou Win32/Industroyer) é o primeiro malware públicamente documentado desenvolvido específicamente para atacar e interromper operações de redes elétricas. Desenvolvido e implantado pelo [[g0034-sandworm|Sandworm Team]] (GRU Unit 74455), o Industroyer causou um blecaute em parte de Kiev, Ucrânia, em dezembro de 2016, deixando aproximadamente 230.000 residências sem energia por cerca de uma hora. O malware foi descoberto e analisado pela [[eset|ESET]] e pela Dragos (que o chamou de CRASHOVERRIDE) em junho de 2017, revelando um nível de sofisticação sem precedentes em malware para sistemas de controle industrial. O diferencial do Industroyer em relação a todos os malwares ICS anteriores - incluindo o [[s0603-stuxnet|Stuxnet]] - é sua arquitetura projetada explicitamente para operar em infraestrutura elétrica. Enquanto o [[s0603-stuxnet|Stuxnet]] atacava PLCs de manufatura via uma vulnerabilidade muito específica, o Industroyer implementa suporte nativo para quatro protocolos industriais distintos amplamente usados em subestações elétricas: IEC 60870-5-101 (serial), IEC 60870-5-104 (TCP/IP), IEC 61850 e OPC DA. Esta abrangência de protocolos o torna operável contra infraestruturas elétricas em práticamente qualquer país europeu e em muitos países da América Latina, incluindo o Brasil. Arquiteturalmente, o Industroyer é um framework modular composto por um backdoor principal que gerencia C2 e orquestra os módulos de payload, quatro módulos de protocolo industrial, um módulo de limpeza destrutiva baseado em [[s0607-killdisk|KillDisk]] e um componente de port scanning para reconhecimento de rede OT. O módulo de limpeza sobrescreve configurações e o MBR de sistemas comprometidos após a execução do ataque - dificultando recuperação e forense. O [[industroyer2|Industroyer2]], descoberto em abril de 2022, é uma versão simplificada que suporta exclusivamente IEC-104, adaptada para um ataque específico que foi interceptado pelo CERT-UA. O Industroyer representa um marco doutrinário: demonstrou que grupos patrocinados por estados possuem capacidade de desenvolver ferramentas específicas para desligar infraestruturas críticas a vontade. A atribuição formal ao [[g0034-sandworm|Sandworm Team]] pelo ESET, Dragos e pelos governos dos EUA e Reino Unido consolidou a visão de que o GRU mantém uma divisão dedicada a ciberarmas contra infraestrutura elétrica e industrial. | Campo | Detalhe | |-------|---------| | **Tipo** | Framework ICS modular para redes elétricas | | **Linguagem** | C++ | | **Primeira versão** | Dezembro de 2016 (ataque Kiev) | | **Status** | Inativo (substituído pelo Industroyer2 em 2022) | | **MITRE ID** | S0604 | | **Plataformas** | Windows, Engineering Workstation, RTU/PLC/IED | | **Alvo principal** | Redes elétricas - subestações de alta tensão | ## Como Funciona **Backdoor principal (Backdoor.Win32/Industroyer):** Gerencia comunicação C2 via HTTP(S) com suporte a múltiplos proxies (T1090.003). Persiste como serviço Windows (T1543.003) com nome mascarado como software legítimo. Instala um segundo backdoor de acesso de emergência via porta diferente. Orquestra a execução dos módulos de payload segundo agendamento configurado pelo operador. **Módulos de protocolo ICS:** Os quatro payloads especializados atacam protocolos industriais distintos: - **IEC-104 (TCP/IP):** Protocolo mais usado em subestações de alta tensão europeias para controle de disjuntores - o módulo envia comandos de desligamento via TCP/2404 - **IEC-101 (Serial):** Variante serial do IEC-104, usada em RTUs legados com comunicação por RS-232/RS-485 - **IEC-61850:** Protocolo de comunicação entre subestações (GOOSE/MMS) para coordenação de proteção - **OPC DA:** Interface de dados de processo Windows para sistemas SCADA - permite enviar comandos a PLCs via DCOM **Módulo de limpeza destrutiva:** Após a execução do ataque, apaga arquivos de configuração ICS, sobrescreve o MBR com uma versão modificada do [[s0607-killdisk|KillDisk]] e corrompe drivers de sistema - tornando estações de engenharia irrecuperáveis e dificultando resposta a incidentes. **Port scanner e backdoor adicional:** Realiza reconhecimento de rede OT (T1046) identificando RTUs, subestações e estações de engenharia. Instala um backdoor SSH adicional para acesso de emergência caso o canal C2 primário seja detectado. **Ataque de Kiev (17/12/2016):** O ataque ocorreu durante a madrugada, enviando comandos de desligamento para subestações via IEC-104. Disjuntores foram desligados remotamente em múltiplas subestações de Kiev, seguido de execução do módulo KillDisk para destruir configurações e dificultar recuperação. O blecaute durou aproximadamente uma hora antes que técnicos conseguissem reativar os sistemas manualmente. ## Attack Flow ```mermaid graph TB A["Acesso inicial Spear-phishing contra engenheiros de subestacao"] --> B["Reconhecimento OT Mapeamento de rede ICS T1046 T1016 T1082"] B --> C["Deploy backdoor principal Backdoor Win32/Industroyer T1543.003 servico Windows"] C --> D["Módulos ICS ativados IEC-104 IEC-101 IEC-61850 OPC DA - 4 protocolos"] D --> E["Ataque subestacoes Kiev Comandos de desligamento para disjuntores 17/12/2016"] E --> F["Blecaute 230k residencias Kiev sem energia ~1h T1489 Service Stop"] F --> G["Limpeza KillDisk Destroi configs ICS T1485 sobrescreve MBR"] classDef init fill:#1a5276,color:#fff classDef recon fill:#7f8c8d,color:#fff classDef back fill:#8e44ad,color:#fff classDef ics fill:#c0392b,color:#fff classDef attack fill:#922b21,color:#fff classDef impact fill:#d35400,color:#fff classDef clean fill:#2c3e50,color:#fff class A init class B recon class C back class D ics class E attack class F impact class G clean ``` ## Timeline ```mermaid timeline title Industroyer - Da Descoberta ao Sucessor 2015-12 : BlackEnergy3 ataca rede eletrica Ucrania : Preparação e reconhecimento por Sandworm 2016-12-17 : Industroyer causa blecaute em Kiev : 230k residencias sem energia por 1 hora 2017-06 : ESET e Dragos publicam análise completa : Denominado CRASHOVERRIDE pela Dragos 2017-06 : Dragos atribui a grupo ELECTRUM / Sandworm : EUA e UK confirmam atribuicao ao GRU 2022-04 : Industroyer2 descoberto - tentativa contra UA : Ataque interceptado pelo CERT-UA e ESET 2022-04 : Industroyer2 usa apenas IEC-104 : Mais simples mas igualmente destrutivo ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Persistência | [[t1543-003-windows-service\|T1543.003]] | Backdoor instalado como serviço Windows com nome mascarado | | Impacto | [[t1485-data-destruction\|T1485]] | KillDisk destrutivo sobrescreve configurações ICS e MBR | | Impacto | [[t1489-service-stop\|T1489]] | Desligamento de serviços ICS - disjuntores de subestações | | Descoberta | [[t1046-network-service-discovery\|T1046]] | Mapeamento de rede OT - identificação de RTUs e subestações | | Acesso Inicial | [[t1078-valid-accounts\|T1078]] | Uso de credenciais legítimas de operadores ICS obtidas previamente | | C2 | [[t1572-protocol-tunneling\|T1572]] | C2 via HTTP encapsulado em tráfego legítimo | | C2 | [[t1090-003-multi-hop-proxy\|T1090.003]] | Infraestrutura C2 multi-salto para dificultar rastreamento | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTP/HTTPS com servidor de controle remoto | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados de reconhecimento exfiltrados pelo canal C2 | | Descoberta | [[t1016-system-network-configuration-discovery\|T1016]] | Descoberta de configuração de rede OT para mapeamento | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Reconhecimento de sistemas comprometidos | | Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Descoberta de arquivos de configuração ICS | | Movimentação | [[t1105-ingress-tool-transfer\|T1105]] | Transferência de módulos adicionais via backdoor C2 | | Comprometimento | [[t1554-compromise-host-software-binary\|T1554]] | Modificação de binários de software de controle industrial | ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] (GRU Unit 74455 / GTsST) - atribuição formal por ESET, Dragos, EUA e Reino Unido. Também responsável pelo [[s0368-notpetya|NotPetya]] (2017), [[industroyer2|Industroyer2]] (2022) e múltiplas campanhas contra infraestrutura ucraniana. ## Relevância LATAM/Brasil O Industroyer é de alta relevância para o Brasil dado que o país possui a maior rede elétrica da América Latina, com subestações que utilizam os mesmos protocolos industriais atacados pelo malware - especialmente IEC-104 e OPC DA. A [[eletrobras|Eletrobras]], [[cemig|Cemig]], [[copel|Copel]] e outras concessionárias brasileiras operam subestações modernas que comúnicam via IEC-104 para controle remoto de disjuntores, exatamente o protocolo explorado no ataque de Kiev. O [[g0034-sandworm|Sandworm Team]] demonstrou interesse em ataques a redes elétricas fora da Ucrânia e tem histórico de operações com impacto global. O modelo do Industroyer - framework modular com suporte a múltiplos protocolos ICS - pode ser adaptado para qualquer infraestrutura que use protocolos padrão como IEC-104. A ANEEL e o ONS (Operador Nacional do Sistema Elétrico) públicaram diretrizes de cibersegurança para concessionárias brasileiras, mas a maturidade de monitoramento OT ainda é heterogênea no setor. O precedente mais preocupante para o Brasil é que o Industroyer não requer vulnerabilidades de software para operar: ele usa os protocolos legítimos de controle de subestações para enviar comandos de desligamento. Isso significa que sistemas completamente atualizados são vulneráveis se as credenciais de operadores forem comprometidas. Exercícios de resiliência cibernética em infraestrutura crítica, como os realizados pelo CTIR Gov em colaboração com concessionárias, devem incluir cenários de ataque ICS baseados no modelo Industroyer. ## Detecção **Fontes de dados recomendadas:** - **Monitoramento ICS/OT especializado:** Sistemas como Dragos, Claroty ou Nozomi Networks que analisam tráfego dos protocolos IEC-101, IEC-104, IEC-61850 e OPC DA. Alertar para comandos de controle inesperados - especialmente desligamento de disjuntores ou reconfiguração de RTUs - deve ter prioridade máxima - **Windows Event ID 7045 (Novo Serviço):** Criação de serviços com nomes que imitam software legítimo por processos não-administrativos autorizados em estações de engenharia ICS - **Anomalias de comunicação OT:** Conexões entre rede corporativa e rede OT fora de padrões estabelecidos de manutenção - Industroyer usa o canal C2 corporativo para orquestrar ataques na rede OT - **Integridade de MBR:** Monitorar modificações em setores de boot via ferramentas como o módulo de integridade de disco do agente EDR em estações de engenharia **Regras de detecção:** - Sigma: `win_malware_industroyer.yml` - criação de serviços com nomes mascarados em estações de engenharia ICS (SigmaHQ) - YARA: `CRASHOVERRIDE.yar` - strings características dos módulos IEC-104, IEC-101 e OPC DA do Industroyer (ESET e Dragos IoC repositories) - Hunting: verificar processos que se comúnicam com portas ICS (TCP/2404 para IEC-104, TCP/102 para IEC-61850) em sistemas que não são SCADA ou HMI autorizados > [!critical] Impacto em ICS > O Industroyer é específicamente desenvolvido para atacar redes elétricas. Sua detecção em qualquer ambiente ICS deve ser tratada como incidente crítico com notificação imediata ao CTIR Gov e às autoridades regulatórias (ANEEL no Brasil). Nunca isolar sistemas ICS sem coordenação com equipes de operação para evitar impacto adicional. ## Referências - [1](https://attack.mitre.org/software/S0604/) MITRE ATT&CK - S0604 Industroyer - [2](https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/) ESET - Industroyer: Biggest Threat to Industrial Control Systems Since Stuxnet (2017) - [3](https://dragos.com/resource/crashoverride-analysis-of-the-threat-to-electric-grid-operations/) Dragos - CRASHOVERRIDE: Analysis of the Threat to Electric Grid Operations (2017) - [4](https://www.cisa.gov/news-events/ics-advisories/icsa-22-137-02) CISA ICS Advisory - Industroyer2 Advisory ICSA-22-137-02 (2022) - [5](https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/) ESET - Industroyer2: Industroyer Reloaded (2022) - [6](https://www.mandiant.com/resources/blog/industroyer-v2) Mandiant - Industroyer2: Reuse of CRASHOVERRIDE Components (2022)