O mais poderoso e mais temido malware do mundo está se espalhando – e a uma velocidade maior do que o imaginado. A maior prova disso é de Julian Gutmanis, um especialista em segurança digital  que, em 2017, foi convocado para solucionar um ataque a uma instalação petroquímica na Arábia Saudita. E ele ficou paralisado com o que encontrou.

Segundo o Technology Review, publicação especializada do MIT (Instituto de Tecnologia de Massachussets), os crackers haviam implantado softwares mal-intencionados que os deixavam assumir, remotamente, os sistemas de segurança da fábrica, que integram a última linha de defesa contra desastres. Ao desabilitar ou adulterar o mecanismo, os intrusos poderiam gerar consequências catastróficas, como explosões em grande escala. Por sorte, eles foram impedidos por uma falha no próprio código.

Um modelo de controlador de segurança chamado Triconex, fabricado pela francesa Schneider Electric, é o grande alvo do malware, já apelidado de Triton. O código já paralisou a fábrica saudita duas vezes, em junho e agosto de 2017. Esta foi a primeira vez que o mundo da segurança cibernética viu o código projetado deliberadamente para colocar vidas em risco.

O problema é que o sistema invadido na Arábia Saudita não é usado apenas em indústrias petroquímicas. Eles também são a última linha de defesa em diversas plataformas de infraestrutura, desde sistemas de transporte até instalações de tratamento de água e usinas nucleares.

Como os hackers chegaram a esse ponto?

A descoberta do Triton ocorre em um momento crucial no mundo digital, com o crescimento acelerado da chamada Internet das Coisas, que incorpora conectividade a todos os tipos de equipamentos. Na indústria, isso permite que os funcionários monitorem remotamente estes aparelhos e coletem dados rapidamente, para tornar as operações mais eficientes, além de monitorar hábitos de consumo. Mas é certo que também oferece aos hackers mais alvos em potencial.

Não é a primeira vez, é claro, que o espaço cibernético é utilizado para prejudicar o mundo físico. No entanto, há um grande abismo entre esse fato e a capacidade de softwares maliciosos invadirem sistemas críticos. “Mesmo com o Stuxnet e outros malwares, nunca houve uma intenção flagrante de prejudicar as pessoas”, afirma Bradford Hegrat, consultor da Accenture, especializada em segurança cibernética industrial.

As notícias da existência de Triton foram reveladas em dezembro de 2017. Nos últimos dois anos, as empresas de segurança cibernética têm corrido para desmanchar o malware e descobrir quem está por trás dele.

Especula-se que os hackers estivessem dentro da rede de TI corporativa da empresa petroquímica desde 2014. A partir daí, eles acabaram encontrando um caminho para a rede da própria fábrica, provavelmente através de um buraco em um firewall mal configurado que deveria impedir o acesso não autorizado. Com isso, os atacantes puderam descobrir o modelo dos controladores de hardware dos sistemas, bem como suas versões operacionais.

Alerta vermelho

A origem do malware é motivo de diversas pesquisas e teorias na área, mas ainda é incerta. Um relatório de outubro da FireEye, uma empresa de segurança cibernética chamada logo no início da investigação do Triton, aponta uma culpada: a Rússia. Os pesquisadores afirmam ter rastreado arquivos digitais deixados para trás pelos hackers na rede da petrolífera saudita, entre eles um endereço IP que tinha sido usado para iniciar operações ligadas ao malware.

O endereço foi registrado no Instituto Central de Pesquisa Científica de Química e Mecânica, em Moscou. Trata-se de uma organização do governo com divisões que se concentram em infraestrutura crítica e segurança industrial. No entanto, o relatório observa que não encontrou provas específicas para culpar o órgão pelo desenvolvimento do Triton.

O fato de os hackers terem se esforçado tanto para desenvolver o Triton é um alerta para fabricantes de sistemas de segurança focados em infraestrutura. Andrew Kling, executivo da Schneider, considera o incidente uma lição importante para que exista uma concentração maior de proteção a alvos altamente improváveis de hackers, mas que poderiam causar desastres se comprometidos.

Estes sistemas são altamente adaptados para proteger diferentes tipos de processos. Portanto, a criação de malwares para controlá-los envolve muito tempo e muito esforço. O controlador Triconex, da Schneider Electric, por exemplo, vem em dezenas de modelos diferentes, e cada um deles pode ser carregado com diferentes versões operacionais.

O que esperar do futuro conectado?

Os riscos são claros: quanto mais equipamentos conectados existirem, mais alvos os hackers devem ter. Para manter os invasores longe, as indústrias de base normalmente contam com uma estratégia conhecida como “defesa em profundidade”. Isso significa criar várias camadas de segurança, começando com firewalls, por exemplo, para separar as redes corporativas da internet.

Essas defesas também incluem items como ferramentas antivírus para detectar malwares e, cada vez mais, softwares de inteligência artificial que tentam detectar um comportamento anormal dentro dos sistemas de TI. Por fim, existem os mecanismos instrumentados de segurança e as falhas físicas. Os mais críticos normalmente têm vários backups físicos para proteger contra falhas de qualquer elemento.

A estratégia provou ser robusta. Mas a ascensão dos hackers, com o tempo, o dinheiro e a motivação para derrubar a infraestrutura crítica, bem como o uso crescente de sistemas conectados à internet, significa que o passado pode não ser um guia confiável para o futuro.

Felizmente, os invasores da fábrica saudita foram interceptados e agora sabemos muito mais sobre como eles funcionavam. Afinal, pelo bem da humanidade, hackers também cometem erros, mas o Triton é um lembrete de que os riscos estão aumentando. Julian Gutmanis acredita que mais ataques usando o malware mais assassino do mundo são inevitáveis: “Eu ficaria surpreso se este fosse o último.”