Como 30 linhas de código explodiram um gerador de 27 toneladas
Um experimento secreto em 2007 provou que os hackers poderiam destruir a rede elétrica além do reparo – com apenas um arquivo não maior que um GIF normal.
No início desta semana, o Departamento de Justiça dos EUA divulgou uma acusação contra um grupo de hackers conhecido como Sandworm. No documento, seis hackers supostamente trabalhando para a agência de inteligência militar russa GRU foram acusados de crimes de computador ligados a ataques cibernéticos em todo o mundo, desde sabotar as Olimpíadas de Inverno de 2018 na Coreia até espalhar o malware mais destrutivo da história da Ucrânia.
O ataque à rede elétrica da Ucrânia em 2016 parece ter sido projetado não apenas para cortar a energia, mas para causar danos físicos aos equipamentos elétricos. E quando um pesquisador de segurança cibernética chamado Mike Assante investigou os detalhes desse ataque, ele percebeu que o hack não foi inventado por hackers russos, mas pelo governo dos EUA, e já havia sido testado uma década antes.
A WIRED publicou um artigo com um trecho do livro SANDWORM: A New Era of Cyberwarfare and the Hunt for the Kremlin’s Most Dangerous Hackers, publicado na semana passada. Nós o traduzimos e convidamos você a ler uma história fascinante sobre um dos primeiros experimentos bem-sucedidos em hacking de rede. Hoje, ainda serve como um aviso poderoso dos efeitos potenciais de ataques cibernéticos no mundo físico e uma premonição sombria dos próximos ataques de Sandworm.
Em uma manhã fria e ventosa em março de 2007, Mike Assante chegou ao Laboratório Nacional de Idaho, 32 milhas a oeste de Idaho Falls, um edifício no meio de uma enorme paisagem desértica coberta de neve e artemísia. Ele entrou no salão dentro do centro de visitantes, onde uma pequena multidão estava se reunindo. A equipe incluiu funcionários do Departamento de Segurança Interna, do Departamento de Energia e da North American Electric Reliability Corporation (NERC), executivos de várias concessionárias de energia elétrica do país e outros pesquisadores e engenheiros que, como Assante, foram encarregados do Laboratório Nacional para conduzir seus dias na imaginação de ameaças catastróficas à infra-estrutura crítica da América.
Na frente da sala havia uma série de monitores de vídeo e links de dados configurados para os assentos do estádio na sala, como o centro de controle de vôo de um lançamento de foguete. As telas mostravam imagens ao vivo de vários ângulos do enorme gerador a diesel. O carro era do tamanho de um ônibus escolar, verde menta, uma gigantesca massa de aço pesando 27 toneladas, quase o mesmo que um tanque M3 Bradley. Ficava a um quilômetro e meio do auditório, em uma subestação elétrica, produzindo eletricidade suficiente para abastecer um hospital ou navio de guerra, e fazendo um rugido constante. As ondas de calor que emanam de sua superfície abalaram o horizonte na imagem do fluxo de vídeo.
Assante e seus colegas pesquisadores do INL compraram um gerador de $ 300.000 de um campo de petróleo no Alasca. Eles o enviaram por milhares de quilômetros até o Idaho Proving Ground, um pedaço de terra de 890 milhas quadradas onde o laboratório nacional mantinha uma rede elétrica considerável para fins de teste, completa com 100 quilômetros de linhas de transmissão e sete subestações elétricas.
Agora que Assante havia feito seu trabalho corretamente, eles iriam destruí -la. E os pesquisadores reunidos planejaram destruir esse mecanismo muito caro e duradouro, não com nenhuma ferramenta ou arma física, mas com cerca de 140 kilobytes de dados, um arquivo menor que o GIF de gato médio postado no Twitter hoje.
Três anos atrás, Assante era o chefe de segurança da American Electric Power ., uma empresa de serviços públicos com milhões de clientes em 11 estados, do Texas ao Kentucky. Ex-oficial da Marinha que se tornou engenheiro de segurança cibernética, Assante estava bem ciente da possibilidade de ataques de hackers na rede elétrica. Mas ficou consternado ao ver que a maioria de seus colegas do setor elétrico tinha uma visão relativamente simplista dessa ameaça ainda teórica e distante. Se os hackers de alguma forma entrassem na rede da concessionária e começassem a abrir os disjuntores, a indústria pensava na época que a equipe poderia simplesmente chutar os intrusos para fora da rede e ligar a energia novamente. “Poderíamos lidar com isso como uma tempestade", lembra Assante das palavras de seus colegas. “Como era para ser, seria como um desligamento e nos recuperaríamos da falha, e esse era o limite de pensar no modelo de risco.”
Mas Assante, que tinha um raro nível de conhecimento sobre a interferência entre arquitetura de rede elétrica e segurança de computadores, teve uma ideia mais complicada. E se os invasores não apenas controlassem os sistemas de controle das operadoras de rede para acionar interruptores e causar interrupções momentâneas de energia, mas também reprogramassem elementos de rede automatizados, componentes que tomavam suas próprias decisões sobre a operação da rede sem consultar ninguém?
Especificamente, Assante estava pensando em um dispositivo chamado relé de proteção. Os relés de proteção são projetados para funcionar como um mecanismo de proteção contra condições físicas perigosas em sistemas elétricos. Se as linhas superaquecerem ou o gerador sair de sincronia, são esses relés de proteção que detectam a anomalia e abrem o disjuntor, desligando o local da falha, economizando equipamentos preciosos e até evitando incêndios. O relé de proteção atua como uma espécie de salva-vidas para a rede.
Mas e se esse relé de proteção pudesse ser paralisado – ou, pior, danificado para que se tornasse um caminho de deslizamento para a carga útil de um invasor?
Essa pergunta perturbadora foi feita a Assante no Laboratório Nacional de Idaho enquanto ele trabalhava na indústria de energia elétrica. Agora, no centro de visitantes do local de testes do laboratório, ele e seus colegas engenheiros estavam prestes a colocar sua ideia mais maligna em ação. O experimento secreto recebeu um codinome que se tornaria sinônimo da possibilidade de ataques digitais com consequências físicas: Aurora.
O diretor de prova leu a hora: 11h33. Ele verificou com o engenheiro de segurança se não havia estranhos perto do gerador a diesel do laboratório. Ele então deu luz verde a um dos pesquisadores de segurança cibernética no escritório do Laboratório Nacional em Idaho Falls para lançar o ataque. Como qualquer verdadeira sabotagem digital, esta será realizada a quilômetros e quilômetros de distância, via Internet. Em resposta, o hacker simulado enviou aproximadamente trinta linhas de código de seu carro para um relé de segurança conectado a um gerador a diesel do tamanho de um ônibus.
O interior desse gerador, até o momento em que foi sabotado, executava uma espécie de dança invisível, perfeitamente harmonizada com a rede elétrica à qual estava conectado. O combustível diesel em suas câmaras foi borrifado e explodido com um tempo desumano para mover pistões que giravam uma haste de aço dentro de um motor gerador – o conjunto completo era conhecido como "motor primário" – cerca de 600 vezes por minuto. Essa rotação era feita através de uma bucha de borracha projetada para amortecer qualquer vibração e depois nos componentes geradores de eletricidade: uma haste de alavanca enrolada com fio de cobre, encerrada entre dois ímãs maciços, de modo que cada rotação induzia uma corrente elétrica nos fios. Gire esta massa de cobre enrolado rápido o suficiente,
O relé de segurança acoplado a este gerador foi projetado para evitar que ele seja conectado ao restante da rede elétrica sem antes ser sincronizado no ritmo exato: 60 hertz. Mas o hacker Assante em Idaho Falls acabou de reprogramar aquele dispositivo de segurança, virando sua lógica de cabeça para baixo.
Às 11:33 e 23 segundos, o relé de proteção detectou que o gerador estava perfeitamente sincronizado. Mas então seu cérebro distorcido fez o oposto do que foi projetado: abriu um disjuntor para desligar a máquina.
Quando o gerador foi desconectado da maior rede elétrica do Laboratório Nacional de Idaho e liberado do fardo de dividir aquele vasto sistema, ele instantaneamente começou a acelerar, girando mais rápido. Assim que o relé de segurança detectou que a rotação do gerador havia aumentado completamente fora de sincronia com o restante da rede, sua lógica, deliberadamente invertida pelo hacker, imediatamente o conectou ao mecanismo de rede.
No momento em que o gerador a diesel foi reconectado ao sistema maior, foi atingido com a força fatal de qualquer outro gerador giratório da rede. Todo esse equipamento devolveu a massa relativamente pequena dos componentes rotativos do gerador a diesel à sua velocidade original, mais lenta, para corresponder às frequências de seus vizinhos.
Nas telas, o público reunido assistia enquanto a gigantesca máquina tremia com uma força repentina e terrível, fazendo um som como chicotadas. Todo o processo, desde o momento em que o código malicioso foi lançado até o primeiro tremor, levou apenas uma fração de segundo.
Pedaços pretos começaram a sair do painel de acesso do gerador, que os pesquisadores haviam deixado aberto para observar seu interior. No interior, a bucha de borracha preta que conectava as duas metades do eixo do gerador estava rasgada.
Segundos depois, a máquina balançou novamente quando o código do relé de segurança repetiu seu ciclo de sabotagem, desligando e ligando a máquina fora de sincronia. Desta vez, uma nuvem de fumaça cinza começou a sair do gerador, possivelmente devido à queima de peças de borracha dentro dele.
Assante, apesar de meses de esforço e milhões de dólares em fundos federais que gastou desenvolvendo o ataque que testemunharam, de alguma forma sentiu alguma simpatia pela máquina enquanto ela estava sendo destruída por dentro. “Você começa a torcer por isso como um pequeno motor”, lembrou Assante. "Eu pensei: ‘Você consegue!’"
O carro não resistiu. Após o terceiro golpe, ela soltou uma nuvem maior de fumaça cinza. Após o quarto impacto, um jato de fumaça preta subiu 10 metros acima do carro no ar.
O diretor de teste encerrou o experimento e desconectou o gerador destruído da rede elétrica pela última vez, deixando-o mortalmente imóvel. Em uma análise forense subsequente, os pesquisadores do laboratório descobriram que o eixo do motor havia colidido com a parede interna do motor, deixando sulcos profundos em ambos os lados e preenchendo o interior da máquina com lascas de metal. Do outro lado do gerador, sua fiação e isolamento derreteram e queimaram. O carro ficou destruído.
O silêncio reinou no centro de visitantes após a manifestação. “Foi um momento sóbrio”, lembra Assante. Os engenheiros acabaram de provar, sem sombra de dúvida, que os hackers que atacam uma rede elétrica podem ir além da interrupção temporária do trabalho da vítima: eles podem danificar seus equipamentos mais críticos além do reparo. “Imagine o que aconteceria com uma máquina em uma fábrica real, seria terrível”, diz Assante. "Com apenas algumas linhas de código, você pode criar condições que podem causar sérios danos físicos às máquinas das quais dependemos."
Mas Assante também se lembra de ter sentido algo mais sério nos momentos posteriores ao experimento Aurora. Havia uma sensação de que, como Robert Oppenheimer assistindo ao primeiro teste de bomba atômica em outro laboratório nacional dos EUA seis décadas antes, ele estava testemunhando o nascimento de algo histórico e extremamente poderoso.
De acordo com a Wired.