Ciberataque na Arábia Saudita quase causou explosão em fábrica e pode se repetir em breve

Em agosto passado, uma empresa petroquímica com uma fábrica na Arábia Saudita foi atingida por um novo tipo de ataque cibernético. O ataque não se destinava a simplesmente destruir dados ou fechar a fábrica, segundo investigadores. Ele pretendia sabotar as operações da firma e provocar uma explosão.

O ataque foi uma escalada perigosa na guerra cibernética mundial, quando inimigos sem face demonstraram ao mesmo tempo a intenção e a capacidade de infligir sérios danos físicos. Autoridades dos EUA, seus aliados e pesquisadores de segurança cibernética temem que os culpados possam replicá-lo em outros países, já que milhares de instalações industriais em todo o mundo dependem dos mesmos sistemas de computador criados nos EUA que foram danificados.

Os investigadores não falam sobre o ataque de agosto. Eles não querem identificar a empresa ou o país onde ela se situa e não identificaram os culpados.

Mas os atacantes eram sofisticados e tiveram muito tempo e recursos, um indício de que provavelmente eram financiados por um governo, segundo mais de uma dúzia de pessoas, incluindo especialistas em cibersegurança que analisaram o ataque e pediram para não ser identificados porque a investigação ainda está em curso.

A única coisa que evitou uma explosão foi um erro no código de computador dos atacantes, disseram os investigadores.

O ataque foi o mais alarmante de uma série de ciberataques a indústrias petroquímicas na Arábia Saudita. Em janeiro de 2017, os computadores apagaram na National Industrialization Co., conhecida como Tasnee, que é uma das poucas indústrias petroquímicas privadas do país, uma joint venture entre as gigantes do petróleo e química Saudi Aramco e Dow Chemical.

Minutos depois do ataque na Tasnee, os discos rígidos dos computadores da companhia foram destruídos e seus dados apagados, substituídos por uma imagem de Alan Kurdi, o menino sírio que se afogou na costa da Turquia quando sua família fugiu da guerra civil naquele país.

A intenção dos ataques de janeiro, segundo autoridades e pesquisadores da companhia de segurança Symantec, foi infligir danos duradouros às empresas petroquímicas e enviar uma mensagem política. A recuperação levou meses.

Especialistas em energia disseram que o ataque de agosto pode ter sido uma tentativa de complicar os planos do príncipe Mohammed bin Salman de incentivar investimentos privados domésticos e estrangeiros para diversificar a economia saudita e gerar empregos para a crescente população jovem do país.

"Não é apenas um ataque ao setor privado, que está sendo convocado para promover o crescimento da economia saudita, como também se concentrou no setor petroquímico, que é uma parte central da economia saudita", disse Amy Myers Jaffe, uma especialista em energia do Oriente Médio no Conselho para Relações Exteriores.

A Arábia Saudita reduziu as exportações de petróleo nos últimos anos para apoiar os preços globais do produto, uma estratégia vital para seus esforços de tornar mais atraente aos investidores internacionais uma possível oferta pública inicial de ações da Saudi Aramco, de propriedade do governo. O reino tentou compensar a perda de receita expandindo sua indústria petroquímica e de refino.

Alguns detalhes técnicos do ataque de agosto foram relatados antes, mas esta é a primeira vez que os ataques anteriores à Tasnee e outras empresas petroquímicas sauditas foram noticiados.

Analistas de segurança da Mandiant, uma divisão da firma de segurança FireEye, ainda estão investigando o que aconteceu em agosto, com a ajuda de várias companhias dos EUA que apuram ataques informáticos a sistemas de controle industrial.

Uma equipe da Schneider Electric, que fez os sistemas industriais visados, chamados de controles de segurança Triconex, também está examinando o ataque, segundo as pessoas que falaram com o "Times". E também a Agência de Segurança Nacional, o FBI, o Departamento de Segurança Interna e a Agência de Projetos de Pesquisa Avançada de Defesa do Pentágono, que apoia a pesquisa em ferramentas forenses destinadas a ajudar nas investigações de hacking.

Todos os investigadores acreditam que o ataque provavelmente se destinava a causar uma explosão que teria matado pessoas. Nos últimos anos, explosões em fábricas petroquímicas na China e no México, embora não provocadas por hackers, mataram vários funcionários, feriram centenas e obrigaram à evacuação de comunidades próximas.

O que mais preocupa os investigadores e analistas de inteligência é que os atacantes comprometeram os controladores Triconex da Schneider, que mantêm o equipamento operando em segurança ao realizar tarefas como regular a voltagem, pressão e temperatura. Esses controladores são usados em cerca de 18 mil fábricas em todo o mundo, incluindo instalações nucleares e de água, refinarias de gás e petróleo e indústrias químicas.

"Se os atacantes desenvolveram uma técnica contra o equipamento da Schneider na Arábia Saudita, poderiam empregar a mesma técnica aqui nos EUA", disse James Lewis, um especialista em cibersegurança no Centro de Estudos Estratégicos e Internacionais, um grupo de pensadores de Washington.

O sistema Triconex seria supostamente uma "operação de fechadura e chave", isto é, os controles de segurança só poderiam ser modificados ou desmontados com contato físico.

Então como os hackers entraram? Investigadores descobriram um estranho arquivo digital em um computador numa estação de trabalho de engenharia que parecia uma parte legítima dos controles da Schneider, mas era desenhado para sabotar o sistema. Os investigadores não querem dizer como ele entrou lá, mas não acreditam que foi um trabalho interno. Esta foi a primeira vez que esses sistemas foram sabotados remotamente.

A única coisa que evitou danos significativos foi um "bug" no código do computador dos atacantes que inadvertidamente desligou os sistemas de produção da fábrica.

Os investigadores acreditam que os hackers provavelmente repararam seu erro agora e que é apenas questão de tempo para que eles empreguem a mesma técnica contra outro sistema de controle industrial. Um outro grupo também poderia usar essas ferramentas em um ataque.

O ataque de agosto também foi um passo importante em relação a ataques anteriores na Arábia Saudita. Desde 17 de novembro de 2016, as telas de computadores de vários computadores do governo saudita se apagaram e seus discos rígidos foram deletados, segundo pesquisadores da Symantec que investigaram os ataques.

Duas semanas depois, os mesmos atacantes atingiram outros alvos sauditas com o mesmo vírus de computador. Em 23 de janeiro de 2017 eles voltaram a atacar, na Tasnee e em outras firmas petroquímicas, usando um vírus conhecido como Shamoon, que é uma palavra embutida em seu código.

O vírus Shamoon surgiu cinco anos antes na Saudi Aramco, apagando dezenas de milhares de computadores e substituindo seus dados por uma imagem parcial de uma bandeira americana incendiada. Leon Panetta, então secretário da Defesa dos EUA, disse que o ataque poderia ser um precursor.

"Um país agressor ou grupo extremista poderia usar esse tipo de ferramenta cibernética para adquirir o controle de interruptores críticos", disse ele.

Autoridades do governo e especialistas em cibersegurança na Arábia Saudita e nos EUA atribuíram o ataque do Shamoon em 2012 a hackers iranianos.

"Outro atacante poderia ter adotado o código" para os ataques em janeiro de 2017, disse Vikram Thakur, um pesquisador sênior da Symantec. "Mas nossa análise mostrou que era bastante alta a probabilidade de ser o mesmo perpetrador."

O ataque em agosto não foi com o Shamoon e foi muito mais perigoso.

Os investigadores acreditam que um Estado foi responsável porque não houve um motivo óbvio de lucro, apesar de o ataque ter exigido recursos financeiros importantes. E o código de computador não tinha sido visto em ataques anteriores. Cada ferramenta de hacking tinha sido construída sob medida.

Os atacantes não precisaram descobrir como entrar naquele sistema, como tiveram de entender seu projeto o suficiente para conhecer o layout da instalação --que tubos iam para cada lugar e que válvulas ligar para provocar uma explosão.

Os investigadores acreditam que alguém precisaria comprar a mesma versão do sistema de segurança Triconex para entender seu funcionamento. Os componentes, segundo os investigadores, podem ser comprados por US$ 40 mil no eBay.

O ataque também mostrou o desafio de atribuir o ataque a um país com evidências inquestionáveis.

Especialistas em cibersegurança disseram que Irã, China, Rússia, EUA e Israel têm a sofisticação técnica para lançar esses ataques. Mas a maioria desses países não tinha motivo para fazê-lo. China e Rússia fazem cada vez mais acordos de energia com a Arábia Saudita, e Israel e os EUA passaram a cooperar com o reino contra o Irã.

Isso deixa o Irã, que segundo especialistas tem um crescente programa ciberespacial militar, apesar de o governo iraniano negar seu envolvimento em ciberataques. As tensões entre o Irã e a Arábia Saudita cresceram constantemente nos últimos anos, e o conflito vazou para o ciberespaço.

Autoridades americanas e analistas de segurança culparam hackers iranianos por uma série de ataques a bancos americanos em 2012 e ataques de espionagem mais recentes à indústria aérea. Hackers iranianos foram culpados pelo ataque à Aramco em 2012 e também são os principais suspeitos nos ataques mais recentes com o Shamoon.

O ataque em agosto foi muito mais sofisticado que qualquer ataque anterior originário do Irã, segundo Thakur, da Symantec, mas há uma possibilidade de que o Irã tenha aperfeiçoado suas instalações de guerra cibernética ou trabalhado com outro país, como a Rússia ou a Coreia do Norte.

A Tasnee disse em um e-mail que contratou especialistas da Symantec e da IBM para estudar o ataque que sofreu. A companhia disse que também "reformulou completamente os padrões de segurança" e começou a usar novas ferramentas para evitar ciberataques.

"Sendo uma empresa global, acreditamos que a cibersegurança é uma preocupação em qualquer parte do mundo", disse a companhia.