Durante anos, funcionários do governo e executivos do setor fizeram simulações elaboradas de um ataque cibernético direcionado à rede elétrica ou aos gasodutos nos Estados Unidos, imaginando como o país responderia.
Mas quando o momento real, isto não é um exercício, chegou, não se parecia em nada com os jogos de guerra.
O atacante não era um grupo terrorista ou um estado hostil como Rússia, China ou Irã, como havia sido assumido nas simulações. Era uma rede de extorsão criminosa. O objetivo não era perturbar a economia colocando um gasoduto off-line, mas manter os dados corporativos para resgate.
Os efeitos mais visíveis – longas filas de motoristas nervosos nos postos de gasolina – resultaram não de uma resposta do governo, mas de uma decisão da vítima, Colonial Pipeline, que controla quase metade da gasolina, combustível de aviação e diesel que flui ao longo da Costa Leste, de virar fora da torneira. Fez isso com a preocupação de que o malware que infectou suas funções de back-office pudesse dificultar a cobrança do combustível entregue ao longo do gasoduto ou até mesmo se espalhar para o sistema operacional do gasoduto.
O que aconteceu a seguir foi um exemplo vívido da diferença entre as simulações de mesa e a cascata de consequências que podem seguir até mesmo um ataque relativamente pouco sofisticado. Os efeitos posteriores do episódio ainda estão acontecendo, mas algumas das lições já estão claras e demonstram o quão longe o governo e a indústria privada devem ir para prevenir e lidar com ataques cibernéticos e criar sistemas de backup rápidos para quando a infraestrutura crítica cair.
Neste caso, a crença de longa data de que as operações do oleoduto estavam totalmente isoladas dos sistemas de dados que foram bloqueados pelo DarkSide, uma gangue de ransomware que se acreditava estar operando fora da Rússia, revelou-se falsa. E a decisão da empresa de fechar o oleoduto desencadeou uma série de dominós, incluindo pânico nas compras nas bombas e um medo silencioso dentro do governo de que os danos pudessem se espalhar rapidamente.
Uma avaliação confidencial preparada pelos Departamentos de Energia e Segurança Interna concluiu que o país só poderia se dar ao luxo de mais três a cinco dias com o oleoduto colonial fechado, antes que os ônibus e outros transportes de massa tivessem que limitar as operações devido à falta de óleo diesel. As fábricas de produtos químicos e as operações de refinaria também fechariam porque não haveria como distribuir o que produziram, disse o relatório.
E embora os assessores do presidente Biden tenham anunciado esforços para encontrar formas alternativas de transportar gasolina e combustível para aviação na Costa Leste, nenhuma foi imediatamente implementada. Havia falta de motoristas de caminhão e de vagões-tanque para trens.
“Cada fragilidade foi exposta”, Dmitri Alperovitch, cofundador da CrowdStrike, uma empresa de segurança cibernética, e agora presidente do think tank Silverado Policy Accelerator. “Aprendemos muito sobre o que pode dar errado. Infelizmente, nossos adversários também. ”
A lista de aulas é longa. A Colonial, uma empresa privada, pode ter pensado que tinha uma parede impermeável de proteções, mas foi facilmente rompida. Mesmo depois de ter pago aos extorsionários quase US $ 5 milhões em moeda digital para recuperar seus dados, a empresa descobriu que o processo de descriptografar seus dados e reativar o pipeline era dolorosamente lento, o que significa que ainda levará dias até que a Costa Leste volte ao normal.
“Isso não é como acender um interruptor de luz”, disse Biden na quinta-feira, observando que o oleoduto de 5.500 milhas nunca havia sido fechado antes.
Para o governo, o evento se revelou uma semana perigosa na gestão de crises. Biden disse a assessores, lembrou-se, que nada poderia causar dano político mais rápido do que as imagens de linhas de gás e preços em alta na televisão, com a inevitável comparação com os piores momentos de Jimmy Carter como presidente.
Biden temia que, a menos que o oleoduto retome as operações, o pânico diminua e a distorção dos preços seja cortada pela raiz, a situação alimentará as preocupações de que a recuperação econômica ainda é frágil e que a inflação está subindo.
Além da enxurrada de ações para fazer com que o petróleo circule em caminhões, trens e navios, Biden publicou uma ordem executiva de longa data que, pela primeira vez, visa exigir mudanças na segurança cibernética.
E ele sugeriu que estava disposto a tomar medidas que o governo Obama hesitou em tomar durante os hacks eleitorais de 2016 – ação direta para contra-atacar.
“Também vamos buscar uma medida para interromper sua capacidade de operar”, disse Biden, uma linha que parecia sugerir que o Comando Cibernético dos Estados Unidos, a força militar de guerra cibernética, estava sendo autorizado a chutar o DarkSide off-line, muito como aconteceu com outro grupo de ransomware no outono antes da eleição presidencial.
Horas depois, os sites do grupo na Internet foram desativados. No início da sexta-feira, o DarkSide e vários outros grupos de ransomware, incluindo Babuk, que invadiu o departamento de polícia de Washington DC, anunciaram que estavam saindo do jogo.
Darkside aludiu à ação disruptiva de uma agência não especificada de aplicação da lei, embora não esteja claro se isso foi resultado da ação dos EUA ou da pressão da Rússia antes da esperada cúpula de Biden com o presidente Vladimir V. Putin. E ficar quieto pode simplesmente ter refletido uma decisão da gangue de ransomware de frustrar os esforços de retaliação encerrando suas operações, talvez temporariamente.
O Comando Cibernético do Pentágono encaminhou questões ao Conselho de Segurança Nacional, que se recusou a comentar.
O episódio ressaltou o surgimento de uma nova “ameaça combinada”, que pode vir de cibercriminosos, mas é muitas vezes tolerada e às vezes incentivada por uma nação que vê os ataques como servindo a seus interesses. É por isso que Biden destacou a Rússia – não como o culpado, mas como a nação que abriga mais grupos de ransomware do que qualquer outro país.
“Não acreditamos que o governo russo esteja envolvido neste ataque, mas temos fortes razões para acreditar que os criminosos que cometeram esse ataque estão morando na Rússia”, disse Biden. “Temos estado em comunicação direta com Moscou sobre a necessidade de os países responsáveis agirem contra essas redes de ransomware.”
Com os sistemas do Darkside desativados, não está claro como o governo de Biden retaliaria ainda mais, além de possíveis acusações e sanções, que não impediram os cibercriminosos russos antes. Contra-atacar com um ataque cibernético também traz seus próprios riscos de escalada.
O governo também tem que reconhecer o fato de que grande parte da infraestrutura crítica da América pertence e é operada pelo setor privado e continua pronta para o ataque.
“Este ataque expôs o quão fraca é nossa resiliência”, disse Kiersten E. Todt, diretor-gerente da organização sem fins lucrativos Cyber Readiness Institute. “Estamos pensando demais sobre a ameaça, quando ainda não estamos fazendo o básico para proteger nossa infraestrutura crítica.”
A boa notícia, disseram algumas autoridades, é que os americanos receberam um alerta. O Congresso ficou cara a cara com a realidade de que o governo federal não tem autoridade para exigir que as empresas que controlam mais de 80% da infraestrutura crítica do país adotem níveis mínimos de segurança cibernética.
A má notícia, eles disseram, é que os adversários americanos – não apenas superpotências, mas também terroristas e cibercriminosos – aprenderam o quão pouco é necessário para incitar o caos em grande parte do país, mesmo que não invadam o centro da rede elétrica , ou os sistemas de controle operacional que movimentam gasolina, água e propano em todo o país.
Algo tão básico como um ataque de ransomware bem projetado pode facilmente resolver o problema, ao mesmo tempo que oferece negação plausível a estados como Rússia, China e Irã, que costumam recorrer a estranhos para operações cibernéticas confidenciais.
Ainda é um mistério como o Darkside entrou pela primeira vez na rede de negócios da Colonial. A empresa privada não disse praticamente nada sobre como o ataque se desenrolou, pelo menos em público. Esperou quatro dias antes de ter qualquer discussão substantiva com o governo, uma eternidade durante um ataque cibernético.
Os especialistas em segurança cibernética também observam que a Colonial Pipeline nunca teria que encerrar seu pipeline se tivesse mais confiança na separação entre sua rede de negócios e as operações de pipeline.
“Deve haver uma separação absoluta entre o gerenciamento de dados e a tecnologia operacional real”, disse Todt. “Não fazer o básico é francamente indesculpável para uma empresa que transporta 45% do gás para a Costa Leste.”
Outros operadores de pipeline nos Estados Unidos implantam firewalls avançados entre seus dados e suas operações que só permitem que os dados fluam em uma direção, fora do pipeline, e impediriam a propagação de um ataque de ransomware.
A Colonial Pipeline não disse se implantou esse nível de segurança em seu gasoduto. Analistas do setor dizem que muitos operadores de infraestrutura crítica afirmam que a instalação desses gateways unidirecionais ao longo de um duto de 5.500 milhas pode ser complicada ou proibitivamente cara. Outros dizem que o custo para implantar essas proteções ainda é mais barato do que as perdas com o possível tempo de inatividade.
Dissuadir criminosos de ransomware, que têm crescido em número e ousadia nos últimos anos, certamente será mais difícil do que dissuadir nações. Mas esta semana deixou clara a urgência.
“É tudo diversão e jogos quando estamos roubando o dinheiro uns dos outros”, disse Sue Gordon, ex-diretora-adjunta de inteligência nacional e analista da CIA de longa data com especialização em questões cibernéticas, em uma conferência realizada pelo The Cipher Brief, um boletim informativo de inteligência online. “Quando estamos mexendo com a capacidade de operação de uma sociedade, não podemos tolerar isso.”
Discussão sobre isso post