Em setembro de 2016, o ataque de um botnet chamado Mirai causou estragos na infraestrutura de internet nos Estados Unidos. Além de provocar grandes interrupções em diversos sites, o problema serviu para revelar o dano que um exército de gadgets infectados por malware pode causar.
Agora, pesquisadores do Instituto de Tecnologia da Geórgia pensam em outros cenários em que a ação de redes de botnets podem causar um grande estrago. O exemplo utilizado por eles para descrever a situação está ligado às empresas que fornecem energia.
Durante a conferência de segurança da Black Hat, os especialistas apresentaram suas descobertas. Eles criaram um cenário em que redes de dispositivos de internet das coisas (IoT) com alta potência – compostas por aparelhos que consomem muita energia, como sistemas de ar condicionado, carregadores de carros elétricos e termostatos inteligentes – podem ser estrategicamente usados para aumentar a demanda por energia em determinados momentos.
Eles indicam que um cibercriminoso experiente poderia forçar furtivamente a flutuação de preços em companhias de energia visando o lucro ou o caos – ou ambos.
Para montar o cenário, os pesquisadores usaram dados reais e que estão disponíveis publicamente nos mercados de Nova York e Califórnia, referentes aos anos de 2018 e 2019. Com isso, foi possível observar as flutuações do mercado que são responsáveis por prever a demanda, além do mercado em tempo real, no qual são expressos eventos imprevisíveis, como desastres naturais.
Ao modelar a quantidade de energia que vários botnets poderiam obter e analisar os dados do mercado, os pesquisadores desenvolveram dois tipos de ataque em potencial que alterariam o preço da energia. Além disso, eles descobriram até que ponto os hackers poderiam forçar uma situação sem que a atividade maliciosa fosse descoberta.
Pesquisadores indicam que cibercriminosos experientes poderiam forçar furtivamente a flutuação de preços em companhias de energia visando o lucro ou o caos. Foto: Shutterstock
“Nossa suposição básica é que temos acesso a um botnet IoT de alta potência. Em nossos cenários, o criminoso é um participante ativo do mercado, que está tentando basicamente maximizar seu próprio lucro. A segunda situação descreve o dono de um Estado-nação que pode causar danos aos participantes do mercado como parte de uma guerra comercial”, disse Tohid Shekari, membro do Instituto de Tecnologia da Geórgia e um dos principais participantes do estudo.
Um invasor pode usar o poder de suas redes de bots para aumentar a demanda, por exemplo, quando outras entidades estão apostando que elas serão baixas. Ou eles podem apostar que a demanda aumentará em um determinado momento com certeza de que eles podem fazer isso acontecer.
Diferente das redes de bot IoT comuns, onipresentes e disponíveis para contratação em fóruns criminais, os botnets de alta potência não são tão práticos para se conseguir. Sabe-se que nenhum deles está disponível para aluguel por possíveis hackers. Mas, nos últimos dois anos, os pesquisadores começaram a investigar como essas redes poderiam ser armadas – um exemplo analisou a possibilidade de blecautes em massa.
Realização de um ataque
Os especialistas alertam que, com base em suas análises, cerca de 50 mil dispositivos infectados poderiam desencadear um ataque impactante. Esse valor é bem menor do que os vistos atualmente em cadeias de ataque, que contêm milhões de dispositivos conectados.
No entanto, esse número poderia ser bem maior, já que os consumidores que tiverem os aparelhos sequestrados dificilmente perceberiam algo errado. Os invasores podem intencionalmente ligar os dispositivos para que consumam energia tarde da noite ou enquanto as pessoas estiverem fora de casa.
Outro fator que dificultaria a detecção da ameaça é que a manipulação causaria um impacto de, no máximo, 7% nas contas de energia elétrica dos consumidores, um valor provavelmente baixo o suficiente para passar despercebido.
Para os hackers, no entanto, as recompensas podem ser significativas. Os pesquisadores calculam que fazendo um aparelho funcionar três horas por dia, 100 dias por ano, pode significar um lucro que pode chegar a US$ 24 milhões (R$ 127 milhões em conversão direta).
Situação no mundo real
Apesar dos dados projetados, é difícil saber como esses ataques aconteceriam na prática. Principalmente porque os pesquisadores não conseguem prever como essas invasões podem ocorrer. Vários hackers que tentam o mesmo golpe em um determinado lugar podem ser pegos. No entanto, acionar poucos dispositivos por vez pode ser eficaz.
Ainda assim, o fato de tais ataques serem fáceis de conceber indica que podem ser usados algum dia. Os pesquisadores enfatizam que seu principal objetivo é o de promover a prevenção e alertar as pessoas antes que isso aconteça.
“Esse é um exemplo de como o cenário de ameaças muda de maneiras inesperadas. Quem poderia pensar que uma máquina de lavar ou bicicleta ergométrica poderia ser a base de um tipo de ataque totalmente novo?”, questiona Raheem Beyah, especialista que contribuiu com a pesquisa e cofundador da Fortiphyd Logic, empresa de segurança especializada em controle industrial.
Via: Wired