Sistema de gerenciamento de águas na Europa é infectado por software de mineração de criptomoedas

Vamos ser sinceros. O grande problema desta notícia não é o caso de alguém estar usando sistemas críticos para minerar criptomoedas.

Sim, querido críticos das criptomoedas. O problema não é este, e sim, um sistema crítico como este ter sido infectado por um malware que pode usá-los para minerar criptomoedas. Já parou para pensar se ao invés de gerar moedas o cara quisesse gerar ataques que colocariam a vida de pessoas em risco ?

Pensou ? Ok. Agora vamos a notícia.

O que é legal observar neste ataque é que ele é o primeiro relacionado a mineração de criptomoedas encontrado em sistemas industriais. Quem é ligado a segurança da informação lembra que a anos atrás tivemos o advento do SCADA que foi um ataque direcionado a sistema industriais, e este ataque a uma empresa de serviços de água na Europa abre um caminho bem complexo.

Se por um lado abre o primeiro momento em que sistema de mineração de criptomoedas chegam a sistemas industriais, por outro nos deixa muito preocupados pois ataques deste tipo podem causar problemas mais sérios que este.

Nas últimas semanas os ataques de criptojacking foram bem proeminentes com diversos sistemas de computação passando a ser usados para mineração de modo desconhecido por seus administradores.
Ataques de SSH foram usados para este fim e também, ataques a servidores Oracle Weblogic sem seus últimos patches.

O ataque, de acordo com o CTO da Radiflow estava sendo usado para minerar Monero, que é uma moeda que tem um sistema bem pesado de privacidade e serve bem a atacantes deste tipo.

A Radiflow ainda está no início de sua investigação mas eles acreditam que o malware esteve na rede por pelo menos 3 semanas antes de ser detectado. Sim, 3 semanas.

Não foi ainda possível detectar nem o nome nem a localização exata do malware mas ele está na Europa, com toda certeza.

A Radiflow só sabe de uma coisa. Tudo indica que o malware de mineração veio de um site de publicidade nocivo, ou seja, aquele famoso site que está naqueles sites bonitos ( #NSFW ).

A teoria deles é que um operador do utilitário de gerenciamento de águas abriu o navegador web e clicou em um link publicitário que o levou a um siste que tinha o malware. A partir dali ele foi instalado no sistema.

O sistema que foi infectado é conhecido como HMI que liga a rede SCADA e está rodando o Windows XP .
A Barda disse que os sistemas SCADA ainda possuem Windows XP instalados o que os torna muito fáceis para ser suplantados, já que a Microsoft deixou de suportá-los a alguns anos. E a empresa inclusive pede que eles façam a atualização dos seus sistemas.

Não dá para saber quanto de Monero foi gerado ali, mas um relatório recente da Talos diz que algumas campanhas conseguiram gerar até US$1,18 milhões por ano. Ou seja, é um mercado muito promissor e que vale inclusive alguns riscos.

A detecção

A Radiflow conseguiu detectar o software a partir de um sistema de detecção de intrusão industrial ( iSID ) enquanto monitorava a rede.

Como os softwares de mineração precisam de tempo em tempo fazer o check-in nos pools de mineração para validar os trabalhos, isto deu o sinal para quem estava monitorando a rede.

Como os sistema de mineração não roubam dados de uma rede a detecção só realmente daria sinal para os operadores se os sistemas realmente tivessem uma degradação muito grande. Mas como os sistemas HMI tem uma rede muito grandes, a degradação acabou sendo irrisória e não foi possível a eles notarem este problema.

Não há evidências também do malware ter funções de Worm e ter conseguido se replicar pela rede em outros sistemas.

Mas a investigação ainda está em andamento e não dá ainda para saber o impacto total do acontecimento.
Outra coisa que ainda não está clara é se o ataque foi direcionado somente aquela empresa ou se ele foi direcionado a sistemas SCADA, o que novamente é um grande problema.

Via eWeek / Scheneier

loading...