Uma das principais ameaças aos sistemas de Tecnologia da Informação (TI) atualmente são os ciber ataques. Pior que isso é quando o ataque tem como alvo sistemas de automação que gerenciam infraestruturas críticas. Bem nesse setor, o malware Irongate veio à tona.
A descoberta, que pode comprometer até mesmo sistemas de manufatura, foi feita pela empresa de segurança FireEye, em base de arquivos suspeitos do Google.
Irongate: o que é e qual o seu risco?
O malware, denominado Irongate, ficou dois anos sem ser detectado, teria capacidade de manipular sistemas de aquisição de dados e também supervisão de Sistemas de Controle de Supervisão e Aquisição de Dados (SCADA), além de manipular as leituras produzidas por sensores dos processos fabris.
O arquivo malicioso estava em uma base de dados conhecida como VirusTotal, que tem como finalidade sérum arquivo de códigos suspeitos, enviado por qualquer usuário, para que vários sistemas de antivírus analisem as informações. No caso do Irongate, nenhum sistema foi capaz de defini-lo como potencialmente perigoso.
A finalidade do malware Irongate é inserir-se dentro do processo de monitoramento SCADA e manipular os dados que são enviados pelos PLCs (dispositivos de hardware que observam e controlam processos industriais, como abertura e fechamento de válvulas).
Relembrando o Stuxnet…
Funções semelhantes ao malware Stuxnet que teria sido criado para derrubar o programa nuclear do Irã e que teria liquidado centrífugas de enriquecimento de urânio no país. Ainda no caso do Stuxnet, o malware fez com que a operação de um PLC fosse suspensa e paralisasse o rotor da centrífuga, mas os sinais de que o equipamento estava operando normalmente continuaram a ser enviados.
Já o Irongate age de outra maneira, armazenando dados de um PLC e repetindo os mesmos para o sistema de controle, sendo que simultaneamente, ele sabota o a função dos equipamentos.
Apesar do potencial de destruição, especialistas acreditam que a princípio, que os arquivos são apenas provas de conceito ou ainda pedaços de alguma pesquisa. A atuação exata do Irongate está em identificar e substituir uma DLL específica que se comunica com o software Siemens SIMATIC S7-PLCSIM, programa que roda em simuladores dos PLCs S7-300 e S7-400.
Uma nova ameaça?
A Siemens, que tem um grupo de análise de emergências denominado Product Computer Emergency Readiness Team (ProductCERT) confirmou à empresa FireEye, que o código não funcionaria contra um sistema de controle de ambiente padrão da Siemens.
A descoberta da FireEye só descobriu o potencial problema que o malware Irongate pode causar porque buscava amostras compiladas com a técnica PyInstaller, programa usado para converter scripts Python em aplicações standalone. Mesmo parecendo apenas uma prova de conceito e usando uma DLL que fora do padrão, a descoberta serve de alerta às empresas que trabalham com sistemas SCADA.
Outro alerta é que esse tipo de programas tem aparecido no radar das empresas de segurança com mais frequência, e encontram pela frente muitos sistemas antigos, criados nas décadas de 80 e 90, onde o foco era segurança física e não a lógica. Esses sistemas foram projetados para trabalhar em ambientes isolados, mas com o passar do tempo, com os avanços tecnológicos e por questões de redução de custos de acesso e conexão, foram se interligando diretamente a internet ou a outros sistemas que possuem acesso à web.
Com sistemas tão avançados em comprometer a automação industrial, é possível que a possibilidade passe a ser bem real, e se faz necessário, mais que esperar, prevenir esses programas nos sistemas críticos das empresas. Embora nenhum ataque através do Irongate ainda tenha sido relatado, todo cuidado é válido.
