Os investigadores da ESET detetaram um novo malware particularmente perigoso que tem o nome de código Win32/Industroyer e que é capaz de controlar interruptores e disjuntores elétricos de empresas de distribuição de energia. Em paralelo, pode também ser utilizado para atacar outros tipos de infraestruturas críticas, como companhias de água ou gás.
O ataque é feito através dos protocolos de comunicação que todos os sistemas industriais utilizam para falar entre si. Deste modo, o Industroyer consegue entrar de forma invisível nas redes, desligar a distribuição de energia e até provocar danos mais sérios nos equipamentos.
A componente principal é uma backdoor que é utilizada pelos criminosos para gerirem o ataque. Na prática, instala e controla todos os componentes nos sistemas infetados e liga-se a um servidor remoto para receber novas instruções e enviar informações aos criminosos.
O Industroyer consegue manter-se invisível nos sistemas infetados para garantir que continua a provocar danos sem ser detetado. Inclui ainda uma funcionalidade que permite limpar todos os vestígios da infeção após ter concluído o seu trabalho.
“A capacidade de persistência e a interferência direta com os sistemas industriais fazem do Industroyer um dos malwares mais perigosos desde o stuxnet, que atacou com sucesso o programa nuclear do Irão e foi descoberto em 2010”, afirma Anton Cherepanoy, investigador sénior de malware da ESET.
Apesar de ser difícil estabelecer uma ligação direta é muito provável que o Industroyer tenha sido utilizado no ataque de dezembro de 2016 à rede elétrica ucraniana que deixou Kiev às escuras durante uma hora.