Avançar para o conteúdo principal

EDP: só a arquitetura de rede impediu um apagão geral durante ataque de hackers


Ataque de ransomware teve origem em empresa de outsourcing que trabalha com a EDP. Centenas de sistemas e servidores ficaram bloqueados durante o ataque de hackers

Os hackers que lançaram o sequestro digital da rede da EDP ainda não foram identificados, mas já não restam muitas dúvidas de que o ataque só se tornou possível depois do contágio de um prestador de serviços tecnológicos estrangeiro que tem vindo a trabalhar com a EDP. A Exame Informática apurou que os hackers terão tentado infetar o máximo de servidores e sistemas que encontraram depois da intrusão – e só não deixaram parte ou a totalidade do País ‘às escuras’ e sem energia elétrica porque as redes usadas pelas unidades de produção e distribuição da EDP estão tecnologicamente segregadas das redes que asseguram os processos de gestão, marketing, recursos humanos, inovação, entre outras áreas que não precisam de usar sistemas industriais.

Além de operarem com sistemas operativos típicos de ambiente industrial, que são diferentes daqueles que é costume usar em computadores pessoais ou nos servidores que suportam as atividades de escritório, os equipamentos e redes das unidades de produção e distribuição de eletricidade estão configurados para impedir comandos enviados de forma automatizada de fora dessas redes – o que abrange igualmente os comandos que venham das redes da EDP que não pertencem a essas unidades de produção e distribuição.

Além de múltiplas redundâncias e proteções para as tentativas de ataque, os sistemas usados pelas diferentes subestações das redes elétricas, geralmente, exigem o uso de protocolos específicos que, muitas vezes, são do conhecimento exclusivo dos fabricantes e que podem variar consoante o modelo ou o ano de fabrico.

Os trabalhos de recuperação foram de imediato iniciados e continuam a ser executados de forma ininterrupta pelas nossas equipas de forma a repor a normalidade o mais rapidamente possível

FONTE INSTITUCIONAL DA EDP
Fonte conhecedora do processo enaltece a capacidade de reação dos “informáticos” da EDP que permitiu atenuar a gravidade do ataque, mas lembra que foi o trabalho levado a cabo aquando do desenho e implementação da arquitetura da rede da “elétrica” nacional que evitou uma potencial situação de caos no País. Até porque os hackers tentaram deitar mão a todos os servidores que conseguiram localizar para garantirem uma posição negocial privilegiada antes de publicarem na Dark Web um pedido de resgate de cerca de 10 milhões de euros, com printscreens que descrevem o diagrama da rede e cinco pastas com as designações de múltiplas diretorias e ficheiros “sequestrados” e milhares de passwords de profissionais do grupo EDP em diferentes países (a EDP está presente em 19 mercados).

“A EDP tinha um castelo bem desenhado e construído, com boas muralhas, boas ameias, e bons controlos de portas. O problema veio dos serviços de outsourcing que eram prestados por um fornecedor de tecnologias que nem sequer tinha uma cerca para se proteger”, explica, com recurso à metáfora, essa mesma fonte sob anonimato.

A tese que aponta para a arquitetura da rede como a principal razão que impediu um apagão foi também confirmada por mais uma fonte conhecedora do caso, sob condição de anonimato. “Para se conseguir atacar as redes de produção e distribuição são necessários ataques específicos para estes sistemas industriais. O que não parece ter sido o caso”, refere esta segunda fonte.

Centenas de sistemas bloqueados

Apesar de não terem conseguido deixar o País às escuras, os hackers terão sido bem sucedidos a infetar “centenas de sistemas e servidores” com códigos de ransomware, apurou a Exame Informática.

Atualmente a EDP ainda está em fase de reposição das várias máquinas e diretorias afetadas pelo ataque, que foi anunciado pela primeira vez numa notícia do Jornal de Notícias de 13 de abril. Apesar de não adiantar quaisquer números, a EDP confirma que ainda está em fase de recuperação dos sistemas atacados – provavelmente através da reposição de cópias de segurança dos sistemas que ficaram bloqueados pelos códigos maliciosos de ransomware, que foram injetados pelos hackers.

“Os trabalhos de recuperação foram de imediato iniciados e continuam a ser executados de forma ininterrupta pelas nossas equipas de forma a repor a normalidade o mais rapidamente possível. Os serviços essenciais de produção e distribuição de energia nunca foram interrompidos nem afetados por este incidente e, nesta fase, os serviços de suporte críticos também já estão em funcionamento”, refere a EDP, quando contactada pela Exame Informática.

A “elétrica” nacional não comenta a tese que atribui a um fornecedor tecnológico estrangeiro a origem do contágio por ransomware e também não refere qualquer pista ou indício sobre a identidade dos hackers.

“A EDP está a analisar a origem e a anatomia do ataque em estreita colaboração com diversas entidades especializadas neste domínio, que têm vindo a acompanhar a situação desde o primeiro momento, e continuará a dar todo o apoio necessário a esta investigação”, refere fonte oficial da EDP, sem deixar de sublinhar que “as condições em que o ataque foi feito continuam em averiguação articulada com as entidades competentes”.

Ataque teve origem numa empresa de outsourcing que trabalha com a EDP. Os hackers conseguiram bloquear centenas de servidores e sistemas, mas não conseguiram chegar às máquinas que asseguram a produção e a distribuição de energia no País
António Mexia, presidente executivo da EDP, defendeu a distribuição de dividendos a acionistas na passada assembleia geral da empresa. No circuito da cibersegurança, há quem relacione o ataque de ransomware com uma tentativa de desestabilização da assembleia geral
No circuito de cibersegurança nacional, já se sabe que o ataque de ransomware teve por base um software que dá pelo nome de Ragnar Locker. Desde o início do ano, que este software que sequestra computadores e bases de dados com recurso a ferramentas de encriptação tem vindo a ganhar popularidade junto do cibercrime organizado. Além de bloquear computadores infetados, o Ragnar Locker distingue-se por dispor de uma funcionalidade que permite a cópia de dados. O que garante aos cibercriminosos a possibilidade de ameaçarem com a divulgação de dados, no caso de as vítimas não se atemorizarem com o bloqueio das bases de dados.

Além de ameaçarem com o bloqueio de sistemas e bases de dados, os hackers que atacaram a EDP também ameaçaram com a divulgação da informação extraída durante o ataque. E essa ameaça ajuda a confirmar as duas opções de chantagem possibilitadas pelo Ragnar Locker – mas não chega para responder a outras questões que permanecem em aberto.

Nas páginas de resgate publicadas na Dark Web, os hackers garantiram que tinham conseguido extrair 10 TB de dados – mas essa mensagem terá suscitado estranheza entre os profissionais da empresa e mesmo alguns especialistas de cibersegurança. De acordo com fontes contactadas pela Exame Informática, há dúvidas de que os hackers tenham realmente conseguido enviar os 10 TB de dados para fora das redes da EDP.

Para que essa exfiltração de dados fosse possível, os cibercriminosos teriam de encontrar forma de ludibriar os “sensores” de rede que lançam alertas de segurança sempre que detetam um grande afluxo de tráfego. E aparentemente nenhum desses alertas foi desencadeado. Pelo que, eventualmente, esses hackers não chegaram a extrair os conteúdos das diferentes diretorias e apenas terão necessitado de garantir o acesso à rede para recolherem informação descritiva ou nomes de ficheiros e pastas, como prova de que houve mesmo intrusão e que o bloqueio de ransomware poderia ser aplicado a qualquer momento.

O facto de o ataque ter sido anunciado alguns dias antes da assembleia geral que determinou a distribuição de 694,7 milhões de euros aos acionistas da EDP também suscitou dúvidas quanto aos reais propósitos dos hackers. Desde a primeira notícia até à atualidade, a EDP tem garantido que nunca recebeu um pedido de resgate por via formal – e por essa afirmação se depreende que nunca pagou qualquer resgate.

Em contrapartida, os hackers retiraram as páginas usadas no pedido de resgate quando terminou o prazo máximo definido para o pagamento (meio-dia do passado sábado) – mas passadas poucas horas as mesmas páginas voltaram a ficar disponíveis para consulta de qualquer utilizador da Dark Web, sem que os conteúdos dos ficheiros elencados tenham sido tornados público. À data da publicação deste texto, a página criada pelos hackers mantinha-se no ativo com a mesma mensagem de sempre – apesar de não haver uma razão lógica para isso.

https://visao.sapo.pt/exameinformatica/noticias-ei/internet/2020-04-22-edp-so-a-arquitetura-de-rede-impediu-um-apagao-geral-durante-ataque-de-hackers/

Comentários

Enviar um comentário

Notícias mais vistas:

Diarreia legislativa

© DR  As mais de 150 alterações ao Código do Trabalho, no âmbito da Agenda para o Trabalho Digno, foram aprovadas esta sexta-feira pelo Parlamento, em votação final. O texto global apenas contou com os votos favoráveis da maioria absoluta socialista. PCP, BE e IL votaram contra, PSD, Chega, Livre e PAN abstiveram-se. Esta diarréia legislativa não só "passaram ao lado da concertação Social", como também "terão um profundo impacto negativo na competitividade das empresas nacionais, caso venham a ser implementadas Patrões vão falar com Marcelo para travar Agenda para o Trabalho Digno (dinheirovivo.pt)
Enviar um comentário
Ler mais

OE2026: 10 medidas com impacto (in)direto na carteira dos portugueses

  O Governo entregou e apresentou a proposta de Orçamento do Estado para o próximo ano, mas com poucas surpresas. As mudanças nos escalões de IRS já tinham sido anunciadas, bem como o aumento nas pensões. Ainda assim, há novidades nos impostos, alargamento de isenções, fim de contribuições extraordinárias e mais despesa com Defesa, 2026 vai ser “um ano orçamental exigente” e a margem disponível para deslizes está “próxima de zero”. A afirmação em jeito de aviso pertence ao ministro das Finanças, Joaquim Miranda Sarmento, e foi proferida na  apresentação da proposta de Orçamento do Estado  para o próximo ano. O excedente é de cerca de 230 milhões de euros, pelo que se o país não quer voltar a entrar num défice, a margem para mais medidas é "próxima de zero". "Os números são o que são, se não tivéssemos os empréstimos do PRR não estaríamos a fazer alguns projetos", apontou, acrescentando que não vai discutir o mérito da decisão tomada relativamente à 'bazuca europ...
Enviar um comentário
Ler mais

Governo altera regras de ISV para híbridos plug-in

  Híbridos plug-in vão continuar a pagar menos ISV, mas o Governo alterou as regras para evitar agravamento fiscal. Saiba o que está em causa. Atualmente, os  híbridos  plug-in  (que ligam à tomada) têm uma redução de 75% no ISV (Imposto Sobre Veículos), caso tenham uma autonomia mínima elétrica de 50 km e emissões de dióxido de carbono oficiais inferiores a 50 g/km. A partir de 2026, o Governo mantém a redução de 75% do ISV, mas vai aumentar o limite de 50 g/km de CO 2  para 80 g/km, de acordo com o que foi divulgado pela ACAP (Associação Automóvel de Portugal) ao  Expresso . © Volvo A razão para elevar o limite mínimo de emissões deve-se à entrada em vigor, a partir de janeiro de 2026, da norma Euro 6e-bis. Entre várias alterações, a norma vai alterar também a forma como são certificados os consumos e emissões dos híbridos  plug-in , refletindo melhor o uso real destes veículos. Resultado? A maioria dos valores de CO 2  homologados vão subir. Ca...
Enviar um comentário
Ler mais