Quando o código mata: A ascensão dos ciberataques cinéticos

Já viste a recente série da Netflix "Zero Day", protagonizada por Robert De Niro? (Só estou até ao quarto episódio, por isso, sem spoilers, por favor.)

Caso ainda não o tenha feito, o enredo centra-se num ataque cibernético massivo que afeta praticamente todos os sistemas informatizados nos EUA. Tudo é desligado por um minuto, depois tudo é restaurado. Mas o resultado é que milhares morrem, à medida que aviões e comboios colidem, fábricas industriais explodem, e assim por diante.

A destruição e perda de vidas no mundo real coloca este ataque imaginado na categoria de ciberataques cinéticos. E embora a natureza específica do ataque fictício — contornando simultaneamente todas as estratégias de segurança e afetando todos os tipos de sistemas operativos, desde telemóveis até sistemas de controlo industrial — o torne extremamente improvável, o facto é que os ciberataques cinéticos estão a aumentar.

E apesar de terem passado quinze anos desde o primeiro ciberataque cinético, especialistas alertam que os sistemas industriais e de infraestruturas críticas continuam insuficientemente protegidos contra tais ataques.

Ataques cinéticos no mundo real

Stuxnet

Em 2010, ocorreu o primeiro caso conhecido de ciberataque cinético quando profissionais de segurança identificaram um malware chamado Stuxnet. É geralmente aceite que o malware foi desenvolvido por forças governamentais de Israel e dos EUA. Foi lançado contra elementos do programa de desenvolvimento de armas nucleares do Irão, explorando várias vulnerabilidades do Windows anteriormente desconhecidas.

O Stuxnet foi especificamente concebido para destruir as centrífugas que o Irão utilizava para enriquecer urânio. Ao alterar a programação de tipos específicos de controladores lógicos programáveis (PLCs), fez com que as centrífugas girassem de forma irregular, o que acabou por levá-las a destruir-se. Estima-se que o ataque atrasou o programa de armas do Irão em pelo menos dois anos.

Talvez mais importante ainda, a descoberta do Stuxnet anunciou ao mundo que infraestruturas críticas poderiam ser danificadas ou destruídas usando apenas código malicioso.

Oleoduto Colonial

Em 2021, Colonial Pipeline foi atingida por um ataque de ransomware que levou a empresa a encerrar as suas operações de oleoduto e gasoduto. Os sistemas de controlo industrial (ICS) que geriam os oleodutos não estavam segmentados dos sistemas de dados da empresa, deixando em aberto a possibilidade de uma falha catastrófica caso o ransomware migrasse de um para o outro.

Em última análise, não houve danos ou destruição dos sistemas físicos, no entanto, o encerramento teve um efeito forte e imediato nos preços e na disponibilidade de energia e acredita-se que tenha colocado os EUA em risco estratégico.

Ataque à estação de tratamento de água da Florida

Também em 2021, um cibercriminoso conseguiu aceder à estação de tratamento de água de Oldsmar, Florida, utilizando uma plataforma de software de acesso remoto protegida por palavra-passe, que estava inativa há muito tempo. O atacante ajustou os controlos para adicionar 100 vezes a quantidade normal de hidróxido de sódio, também conhecido como lixívia, à água.

Felizmente, um operador que estava online notou o ataque em progresso e reiniciou o controlo antes que qualquer dano pudesse ser feito. É aterrorizante pensar no que poderia ter acontecido se o ataque tivesse ocorrido à noite, quando nenhum operador legítimo pudesse estar online.

Proteger sistemas vulneráveis

Há muitos mais exemplos de ciberataques cinéticos nos últimos anos. E não há razão para esperar que não continuem a proliferar.

Sistemas ciberfísicos (CPS)—sistemas informatizados que estão conectados à internet, bem como a sistemas físicos e mecânicos—estão por todo o lado. Desde sistemas de ICS e infraestruturas críticas até dispositivos IoT comuns—pense em frigoríficos e pacemakers—beneficiamos imensamente desta tecnologia.

Mas, embora tanto o governo como a indústria tenham aceite cada vez mais a necessidade de uma segurança robusta para proteger dados e redes tradicionais, muitos dos sistemas CPS mais vulneráveis — incluindo infraestruturas críticas que poderiam causar danos massivos e até mortes se atacadas — continuam a ser inadequadamente protegidos.

O que devem os administradores destes sistemas fazer para os proteger melhor contra ataques?

1. Um dos primeiros e mais importantes passos é implementar uma segmentação robusta dos sistemas CPS para impedir que os atacantes usem redes de dados para os penetrar e comprometer. Se possível, devem estar isolados por air gap, ou seja, completamente separados fisicamente da internet e de outras redes e sistemas.

2. Outro passo importante é implementar controles de acesso muito rigorosos, como sistemas de confiança zero, utilizando princípios de privilégio mínimo para garantir que apenas aqueles que têm uma necessidade absoluta de aceder aos sistemas CPS tenham autoridade para o fazer.

3. Invista em sistemas de segurança avançados — incluindo firewalls de rede e de aplicações — pelo menos ao mesmo nível que investem em soluções de segurança para as suas redes e sistemas tradicionais centrados em dados.

4. Realize auditorias de segurança frequentes para garantir que todo o software esteja atualizado e que todas as vulnerabilidades conhecidas sejam corrigidas prontamente. Além disso, certifique-se de que quaisquer acessos temporários concedidos a contratantes ou técnicos externos sejam eliminados assim que deixem de ser necessários.

As apostas sempre foram altas quando se trata de cibersegurança. Mas à medida que a frequência e a gravidade dos ciberataques cinéticos aumentam, essas apostas crescem imensuravelmente.