---

---

O ataque cibernético que fechou o principal gasoduto da Costa Leste para gás e outros combustíveis ocorre após anos de repetidos avisos à indústria – alguns recentes, nas últimas duas semanas. O ataque teve o maior impacto de todos os tempos na infraestrutura crítica dos Estados Unidos, dizem especialistas em segurança cibernética.

Os detalhes ainda estão surgindo. A Colonial Pipeline Company, que possui e opera o gasoduto, divulgou um comunicado dizendo que está dedicando “vastos recursos para restaurar as operações do gasoduto com rapidez e segurança. Os segmentos do nosso gasoduto estão sendo colocados de volta online de maneira gradativa … e isso leva tempo”. O comunicado afirma que o objetivo da empresa é restaurar o serviço até o final da semana.

O DoE (Department of Energy, Departamento de Energia) está liderando a resposta do governo federal, de acordo com a Colonial e fontes familiarizadas com o incidente. O DoE não respondeu imediatamente a um pedido de comentário.

A empresa de segurança cibernética FireEye também está ajudando a Colonial na resposta ao incidente. Buscando comentários da empresa, a Breaking Defense foi encaminhada para a declaração da Colonial.

“Estamos desapontados, mas não surpresos, ao saber do ataque cibernético que fechou 5.500 milhas de oleodutos operados pela Colonial Pipeline”, disseram o senador Angus King e o deputado Mike Gallagher em um comunicado conjunto hoje. King e Gallagher co-presidiram a Comissão Cyberspace Solarium.

“Esta interrupção da distribuição de gasolina refinada e combustível para aviação ressalta a vulnerabilidade de nossa infraestrutura crítica nacional no ciberespaço e a necessidade de defesas de segurança cibernética eficazes, incluindo uma colaboração público-privada robusta para proteger o sistema de dutos e a rede elétrica, bem como a infraestrutura dos sistemas de telecomunicações e serviços financeiros”, afirmaram os legisladores.

O senador Mark Warner, que preside o Comitê de Inteligência do Senado, disse: “Embora esperemos que as empresas protejam sua infraestrutura, essas violações contínuas apenas reforçam a necessidade de uma parceria coesa e cooperativa entre o governo e as empresas privadas que operam os serviços essenciais de nosso país, a infraestrutura.” O senador Warner está trabalhando em uma nova legislação para exigir relatórios de incidentes cibernéticos para o setor privado.

O ataque cibernético começou na quinta-feira passada, quando um grupo cibercriminoso chamado DarkSide roubou uma grande quantidade de dados da empresa. As fontes não especificaram o tipo de dados. A Casa Branca confirmou hoje que o DarkSide estava por trás do ataque cibernético.

---

---

Os atacantes seguiram na sexta-feira implantando ransomware nas redes de TI da Colonial. Oficiais do governo e fontes de segurança confirmaram hoje que parece ser um malware do DarkSide. É importante ressaltar que o ransomware não atingiu as redes de tecnologia operacional (OT, Operational Technology) da Colonial, de acordo com Anne Neuberger, assessora de segurança nacional adjunta para tecnologia cibernética e emergente, em uma coletiva de imprensa da Casa Branca hoje. As redes OT incluem o hardware e o software que permitem que os componentes físicos da tubulação funcionem, como válvulas.

No entanto, o ataque cibernético aos sistemas de TI da Colonial forçou a empresa a fechar preventivamente as redes OT para evitar a potencial propagação, o que interrompeu bruscamente o transporte de combustível do Texas para Nova Jersey na sexta-feira. O gasoduto transporta gás, combustível de aviação e outros produtos refinados que abastecem grande parte da Costa Leste, de acordo com o site da Colonial.

A paralisação levou o Departamento de Transporte ontem a emitir uma “isenção de horário de serviço” de emergência para o transporte de combustível ao longo da Costa Leste. A mudança tem como objetivo suspender temporariamente as restrições à movimentação de gás, diesel, combustível de aviação e outros produtos de petróleo refinado para minimizar as restrições de fornecimento, especialmente no caso de um desligamento prolongado do oleoduto.

Sempre que ocorre um ataque cibernético contra uma infraestrutura crítica, muitos presumem rapidamente que um governo estrangeiro está provavelmente envolvido, e é por isso que o suposto envolvimento do DarkSide é notável. O DarkSide é um grupo de ransomware-as-a-corporation, às vezes chamado de ransomware-as-a-service (RaaS), que se tornou conhecido no ano passado. Como cibercriminosos, o DarkSide busca lucrar com suas atividades.

Acredita-se que o DarkSide opere fora da Europa Oriental, com elementos potencialmente dentro da Rússia, de acordo com pesquisadores de segurança. Embora alguns grupos cibercriminosos supostamente operem como proxies do governo russo, os pesquisadores de segurança não descobriram, até o momento, qualquer ligação direta entre o DarkSide e o governo russo.

No entanto, o governo russo muitas vezes permite que esses grupos cibercriminosos operem com impunidade dentro da Rússia – desde que não tenham como alvo vítimas russas, de acordo com especialistas em segurança. Na verdade, os pesquisadores de segurança que fizeram a engenharia reversa do malware do DarkSide “descobriram que ele irá verificar as configurações de idioma do dispositivo para garantir que eles não ataquem organizações sediadas na Rússia. Eles também responderam a perguntas em fóruns de perguntas e respostas em russo e estão recrutando ativamente parceiros que falam russo”.

O DarkSide emitiu um comunicado online hoje que nega qualquer conexão com o governo russo. A Breaking Defense não está vinculando diretamente à declaração como uma precaução de segurança para os leitores. A declaração dizia, em parte, “Somos apolíticos, não participamos da geopolítica. … Nosso objetivo é ganhar dinheiro e não criar problemas para a sociedade”.

Não há evidências no momento de que o governo russo esteja envolvido neste ataque cibernético, de acordo com funcionários do governo e fontes de segurança familiarizadas com o incidente.

---

---

Por causa do modelo de negócios do DarkSide como RaaS, é possível que um dos seus “clientes” tenha conduzido o ataque cibernético colonial usando o seu ransomware. Essa possibilidade complica a atribuição.

Em um movimento incomum para um grupo de ransomware, o DarkSide emitiu um “comunicado à imprensa” em agosto passado em que explicou quem é e como funciona. Entre outras coisas, o “comunicado de imprensa” disse que o grupo está oferecendo um novo “produto” no mercado, que desenvolveu usando os lucros obtidos em seu trabalho anterior com outros grupos de ransomware. O DarkSide disse que leva tempo para “analisar cuidadosamente a contabilidade [das vítimas] e determinar quanto você pode pagar com base em sua receita líquida”. O comunicado observou: “Nós só atacamos empresas que podem pagar a quantia solicitada, não queremos matar seu negócio”.

Durante sua curta existência, o grupo se tornou conhecido por seus grandes resgates, que podem variar de US$ 200 mil a US$ 2 milhões, de acordo com pesquisadores de segurança. Não se sabe agora qual seria o pedido de resgate para este incidente ou se a Colonial pagou. O governo dos EUA desencoraja as vítimas de pagar resgates.

O ciberataque à Colonial não é o primeiro nos oleodutos dos Estados Unidos. No ano passado, a CISA detalhou um ataque cibernético que teve como alvo uma operadora de gasoduto de energia não identificada.

As autoridades americanas vêm alertando a indústria e o público sobre essa ameaça há anos. Por exemplo, a NSA emitiu um comunicado no início deste mês, convocando os proprietários de infraestrutura crítica para revisar sua segurança OT, destacando a ameaça de redes conectadas OT-IT e conexões OT-Internet. O fato de a Colonial encerrar preventivamente as redes de OT depois que suas redes de TI foram infectadas indica que seus sistemas de TI e OT poderiam estar conectados. Não há nenhuma indicação agora de que as redes OT da Colonial estavam conectadas diretamente à Internet.

Há apenas duas semanas, um grupo público-privado apelidado de Força-Tarefa de Ransomware emitiu um relatório alertando sobre as crescentes implicações econômicas e de segurança nacional do ransomware, dado que os alvos em evolução dos ciberatores incluem infraestrutura crítica. Em um evento virtual anunciando o relatório, o secretário do DHS, Alejandro Mayorkas, disse, no que agora parece um discurso presciente, “O ransomware é uma ameaça à segurança nacional”.

Os parlamentares King e Gallagher disseram que o incidente com a Colonial destaca a importância de duas recomendações do Solarium. “Em primeiro lugar, conforme determinado pela Lei de Autorização de Defesa Nacional do ano fiscal de 2021, o governo federal deve compreender os potenciais efeitos em cascata de ataques que interrompem o transporte de bens e serviços essenciais e preparar planos para garantir a continuidade da economia.”

“Em segundo lugar”, eles continuaram, “o rompimento do Oleoduto Colonial é um exemplo claro da necessidade de criar um novo contrato social entre o governo federal e uma infraestrutura crítica sistemicamente importante”.

Fonte: Breaking Defense.