top of page

Como 30 linhas de código explodiram um gerador de 27 toneladas

Um experimento secreto em 2007 provou que os hackers podem devastar equipamentos da rede elétrica além do reparo - com um arquivo do tamanho de um gif.


Fonte: Wired Magazine


Sinal: Forte


Tendência: Cyber Security


Uma sala de controle em uma instalação do Laboratório Nacional de Idaho. FOTOGRAFIA: JIM MCAULEY / THE NEW YORK TIMES / REDUX


O Departamento de Justiça dos EUA revelou uma acusação contra um grupo de hackers conhecido como Sandworm . O documento acusou seis hackers que trabalham para a agência de inteligência militar russa GRU de crimes de computador relacionados a meia década de ataques cibernéticos em todo o mundo, desde sabotar as Olimpíadas de Inverno de 2018 na Coreia até o lançamento do malware mais destrutivo da história na Ucrânia. Entre esses atos de guerra cibernética estava um ataque sem precedentes à rede elétrica da Ucrânia em 2016 , que parecia projetado não apenas para causar um apagão, mas para infligir danos físicos a equipamentos elétricos. E quando um pesquisador de cibersegurança chamado Mike Assante investigou os detalhes desse ataque, ele reconheceu uma ideia de hacker de rede inventada não por hackers russos, mas pelo governo dos Estados Unidos, e testada uma década antes.


O trecho a seguir do livro SANDWORM: Uma Nova Era de Cyberwar e a Caçada aos Hackers Mais Perigosos do Kremlin , publicado em brochura esta semana, conta a história daquele experimento inicial de hacking em grade. A demonstração foi liderada por Assante, o falecido e lendário pioneiro em segurança de sistemas de controle industrial. Ele viria a ser conhecido como Teste do Gerador Aurora. Hoje, ainda serve como um poderoso aviso dos efeitos potenciais dos ataques cibernéticos no mundo físico - e uma premonição assustadora dos ataques de Sandworm que estão por vir.


Na manhã fria e ventosa de março de 2007, Mike Assante chegou às instalações do Laboratório Nacional de Idaho 52 quilômetros a oeste de Idaho Falls, um edifício no meio de uma vasta paisagem de deserto coberto de neve e artemísia. Ele entrou em um auditório dentro do centro de visitantes, onde uma pequena multidão estava se reunindo. O grupo incluiu funcionários do Departamento de Segurança Interna, do Departamento de Energia e da North American Electric Reliability Corporation (NERC), executivos de um punhado de concessionárias de energia elétrica em todo o país e outros pesquisadores e engenheiros que, como Assante, foram encarregados pelo laboratório nacional para passar seus dias imaginando ameaças catastróficas à infraestrutura crítica americana.

Na frente da sala havia uma série de monitores de vídeo e feeds de dados, configurados para enfrentar os assentos do estádio da sala, como o controle da missão em um lançamento de foguete. As telas mostravam imagens ao vivo de vários ângulos de um enorme gerador a diesel. A máquina era do tamanho de um ônibus escolar, uma massa gigantesca de aço verde-menta pesando 27 toneladas, quase a mesma quantidade de um tanque M3 Bradley. Estava a uma milha de distância de seu público em uma subestação elétrica, produzindo eletricidade suficiente para abastecer um hospital ou um navio da marinha e emitindo um rugido constante. Ondas de calor saindo de sua superfície ondularam o horizonte na imagem do feed de vídeo.


Assante e seus colegas pesquisadores do INL compraram o gerador por US $ 300.000 de um campo de petróleo no Alasca. Eles o enviaram milhares de milhas para o local de teste de Idaho, um pedaço de terra de 890 milhas quadradas onde o laboratório nacional mantinha uma rede de energia considerável para fins de teste, completo com 61 milhas de linhas de transmissão e sete subestações elétricas.


Agora, se Assante tivesse feito seu trabalho direito, eles iriam destruí-lo. E os pesquisadores reunidos planejaram matar aquele maquinário muito caro e resistente, não com nenhuma ferramenta física ou arma, mas com cerca de 140 kilobytes de dados, um arquivo menor do que o GIF de gato comum compartilhado hoje no Twitter.


TRES ANOS ANTES, Assante havia sido o chefe de segurança da American Electric Power, uma concessionária com milhões de clientes em 11 estados, do Texas a Kentucky. Ex-oficial da marinha que se tornou engenheiro de segurança cibernética, Assante há muito tempo estava ciente do potencial de hackers para atacar a rede elétrica. Mas ele ficou consternado ao ver que a maioria de seus pares no setor de energia elétrica tinha uma visão relativamente simplista dessa ameaça ainda teórica e distante. Se os hackers de alguma forma penetrassem fundo na rede de um utilitário para começar a abrir os disjuntores, o senso comum da indústria na época era que a equipe poderia simplesmente expulsar os invasores da rede e religar a energia. “Poderíamos administrar como uma tempestade”, Assante lembra seus colegas dizendo. “Do jeito que foi imaginado, seria como uma interrupção e nós nos recuperaríamos da interrupção,


Mas Assante, que tinha um raro nível de experiência em crossover entre a arquitetura de redes de energia e segurança de computador, foi incomodado por um pensamento mais tortuoso. E se os invasores não se limitarem a sequestrar os sistemas de controle dos operadores da rede para mudar os interruptores e causar blecautes de curto prazo, mas, em vez disso, reprogramar os elementos automatizados da rede, componentes que tomam suas próprias decisões sobre as operações da rede sem verificar com nenhum humano?

Em particular, Assante estava pensando em um equipamento chamado relé de proteção. Os relés de proteção são projetados para funcionar como um mecanismo de segurança para proteger contra condições físicas perigosas em sistemas elétricos. Se as linhas superaquecerem ou um gerador ficar fora de sincronia, são aqueles relés de proteção que detectam a anomalia e abrem um disjuntor, desconectando o ponto problemático, salvando hardware precioso e até evitando incêndios. Um relé de proteção funciona como uma espécie de salva-vidas da rede.

Mas e se esse relé de proteção pudesse ser paralisado - ou pior, corrompido de forma que se tornasse o veículo para a carga útil de um invasor?

Essa pergunta perturbadora foi uma que Assante transferiu para o Laboratório Nacional de Idaho de seu tempo na concessionária de energia elétrica. Agora, no centro de visitantes da área de teste do laboratório, ele e seus colegas engenheiros estavam prestes a colocar em prática sua ideia mais maliciosa. O experimento secreto recebeu um codinome que viria a ser sinônimo do potencial de ataques digitais para infligir consequências físicas: Aurora.


O DIRETOR DE TESTE leia a hora: 11h33. Ele verificou com um engenheiro de segurança se a área ao redor do gerador a diesel do laboratório estava livre de transeuntes. Em seguida, ele enviou um sinal verde para um dos pesquisadores de segurança cibernética no escritório do laboratório nacional em Idaho Falls para iniciar o ataque. Como qualquer sabotagem digital real, esta seria realizada a quilômetros de distância, pela internet. O hacker simulado do teste respondeu enviando cerca de 30 linhas de código de sua máquina para o relé de proteção conectado ao gerador a diesel do tamanho de um ônibus.

O interior daquele gerador, até o exato momento de sua sabotagem, vinha realizando uma espécie de dança invisível e perfeitamente harmonizada com a rede elétrica à qual estava conectado. O óleo diesel em suas câmaras era aerossolizado e detonado com um tempo desumano para mover os pistões que giravam uma haste de aço dentro do motor do gerador - o conjunto completo era conhecido como “motor principal” - cerca de 600 vezes por minuto. Essa rotação era realizada por um anel isolante de borracha, projetado para reduzir qualquer vibração, e depois para os componentes geradores de eletricidade: uma haste com braços envoltos em fios de cobre, alojada entre dois imãs massivos de forma que cada rotação induzisse corrente elétrica nos fios. Gire aquela massa de cobre enrolado rápido o suficiente e ela produziu 60 hertz de corrente alternada, alimentando sua energia na rede muito maior à qual estava conectada.


Um relé de proteção conectado a esse gerador foi projetado para impedir que ele se conectasse ao resto do sistema de energia sem primeiro sincronizar com aquele ritmo exato: 60 hertz. Mas o hacker de Assante em Idaho Falls tinha acabado de reprogramar aquele dispositivo de proteção, invertendo sua lógica de cabeça para baixo.


Às 11h33 e 23 segundos, o relé de proteção observou que o gerador estava perfeitamente sincronizado. Mas então seu cérebro corrompido fez o oposto do que deveria fazer: abriu um disjuntor para desconectar a máquina.

Quando o gerador foi desconectado do circuito maior da rede elétrica do Laboratório Nacional de Idaho e aliviado do fardo de compartilhar sua energia com aquele vasto sistema, ele imediatamente começou a acelerar, girando mais rápido, como uma matilha de cavalos que havia sido solta de seu transporte. Assim que o relé de proteção observou que a rotação do gerador havia acelerado para ficar totalmente fora de sincronia com o resto da rede, sua lógica maliciosamente invertida imediatamente o reconectou ao maquinário da rede.

No momento em que o gerador a diesel foi novamente ligado ao sistema maior, foi atingido com a força violenta de todos os outros geradores giratórios da rede. Todo esse equipamento puxou a massa relativamente pequena dos próprios componentes giratórios do gerador a diesel de volta à sua velocidade original, mais lenta, para corresponder às frequências de seus vizinhos.



Nas telas do centro de visitantes, o público reunido observou a máquina gigante tremer com violência repentina e terrível, emitindo um som como o estalo de um chicote. Todo o processo, desde o momento em que o código malicioso foi acionado até o primeiro estremecimento, durou apenas uma fração de segundo.

Pedaços pretos começaram a voar de um painel de acesso do gerador, que os pesquisadores haviam deixado aberto para observar seu interior. Por dentro, o anel de borracha preta que ligava as duas metades do eixo do gerador estava se despedaçando.

Alguns segundos depois, a máquina tremeu novamente enquanto o código do relé de proteção repetia seu ciclo de sabotagem, desconectando a máquina e reconectando fora de sincronia. Desta vez, uma nuvem de fumaça cinza começou a sair do gerador, talvez devido aos detritos de borracha queimando dentro dele.

Assante, apesar dos meses de esforço e dos milhões de dólares em fundos federais que gastou desenvolvendo o ataque que eles estavam testemunhando, de alguma forma sentiu uma espécie de simpatia pela máquina que estava sendo rasgada por dentro. “Você se pega torcendo por ele, como a pequena locomotiva que conseguiria”, lembra Assante. “Eu estava pensando: 'Você consegue!'”


A máquina não sobreviveu. Após um terceiro golpe, ele lançou uma nuvem maior de fumaça cinza. “Esse motor principal é torrada”, disse um engenheiro ao lado de Assante. Após um quarto golpe, uma nuvem de fumaça negra subiu da máquina a 30 pés no ar em um estardalhaço final.


O diretor de teste encerrou o experimento e desconectou o gerador danificado da rede uma última vez, deixando-o mortalmente imóvel. Na análise forense que se seguiu, os pesquisadores do laboratório descobriram que o eixo do motor havia colidido com a parede interna do motor, deixando sulcos profundos em ambos e enchendo o interior da máquina com aparas de metal. Do outro lado do gerador, a fiação e o isolamento haviam derretido e queimado. A máquina foi destruída.


Na esteira da manifestação, um silêncio caiu sobre o centro de visitantes. “Foi um momento sóbrio”, lembra Assante. Os engenheiros tinham acabado de provar, sem dúvida, que os hackers que atacaram uma concessionária de energia elétrica podiam ir além de uma interrupção temporária das operações da vítima: eles poderiam danificar seu equipamento mais crítico sem conserto. “Foi tão vívido. Você poderia imaginar isso acontecendo com uma máquina em uma fábrica real, e seria terrível ”, diz Assante. “A implicação era que, com apenas algumas linhas de código, você pode criar condições que seriam fisicamente muito prejudiciais para as máquinas nas quais confiamos.”

Mas Assante também se lembra de ter sentido algo mais pesado momentos após o experimento Aurora. Era uma sensação de que, como Robert Oppenheimer assistindo ao primeiro teste da bomba atômica em outro laboratório nacional dos Estados Unidos seis décadas antes, ele estava testemunhando o nascimento de algo histórico e imensamente poderoso.

“Tive um buraco muito real no estômago”, diz Assante. “Foi como um vislumbre do futuro.”


5 visualizações0 comentário

Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating
bottom of page