Avançar para o conteúdo principal

EDP: só a arquitetura de rede impediu um apagão geral durante ataque de hackers


Ataque de ransomware teve origem em empresa de outsourcing que trabalha com a EDP. Centenas de sistemas e servidores ficaram bloqueados durante o ataque de hackers

Os hackers que lançaram o sequestro digital da rede da EDP ainda não foram identificados, mas já não restam muitas dúvidas de que o ataque só se tornou possível depois do contágio de um prestador de serviços tecnológicos estrangeiro que tem vindo a trabalhar com a EDP. A Exame Informática apurou que os hackers terão tentado infetar o máximo de servidores e sistemas que encontraram depois da intrusão – e só não deixaram parte ou a totalidade do País ‘às escuras’ e sem energia elétrica porque as redes usadas pelas unidades de produção e distribuição da EDP estão tecnologicamente segregadas das redes que asseguram os processos de gestão, marketing, recursos humanos, inovação, entre outras áreas que não precisam de usar sistemas industriais.

Além de operarem com sistemas operativos típicos de ambiente industrial, que são diferentes daqueles que é costume usar em computadores pessoais ou nos servidores que suportam as atividades de escritório, os equipamentos e redes das unidades de produção e distribuição de eletricidade estão configurados para impedir comandos enviados de forma automatizada de fora dessas redes – o que abrange igualmente os comandos que venham das redes da EDP que não pertencem a essas unidades de produção e distribuição.

Além de múltiplas redundâncias e proteções para as tentativas de ataque, os sistemas usados pelas diferentes subestações das redes elétricas, geralmente, exigem o uso de protocolos específicos que, muitas vezes, são do conhecimento exclusivo dos fabricantes e que podem variar consoante o modelo ou o ano de fabrico.

Os trabalhos de recuperação foram de imediato iniciados e continuam a ser executados de forma ininterrupta pelas nossas equipas de forma a repor a normalidade o mais rapidamente possível

FONTE INSTITUCIONAL DA EDP
Fonte conhecedora do processo enaltece a capacidade de reação dos “informáticos” da EDP que permitiu atenuar a gravidade do ataque, mas lembra que foi o trabalho levado a cabo aquando do desenho e implementação da arquitetura da rede da “elétrica” nacional que evitou uma potencial situação de caos no País. Até porque os hackers tentaram deitar mão a todos os servidores que conseguiram localizar para garantirem uma posição negocial privilegiada antes de publicarem na Dark Web um pedido de resgate de cerca de 10 milhões de euros, com printscreens que descrevem o diagrama da rede e cinco pastas com as designações de múltiplas diretorias e ficheiros “sequestrados” e milhares de passwords de profissionais do grupo EDP em diferentes países (a EDP está presente em 19 mercados).

“A EDP tinha um castelo bem desenhado e construído, com boas muralhas, boas ameias, e bons controlos de portas. O problema veio dos serviços de outsourcing que eram prestados por um fornecedor de tecnologias que nem sequer tinha uma cerca para se proteger”, explica, com recurso à metáfora, essa mesma fonte sob anonimato.

A tese que aponta para a arquitetura da rede como a principal razão que impediu um apagão foi também confirmada por mais uma fonte conhecedora do caso, sob condição de anonimato. “Para se conseguir atacar as redes de produção e distribuição são necessários ataques específicos para estes sistemas industriais. O que não parece ter sido o caso”, refere esta segunda fonte.

Centenas de sistemas bloqueados

Apesar de não terem conseguido deixar o País às escuras, os hackers terão sido bem sucedidos a infetar “centenas de sistemas e servidores” com códigos de ransomware, apurou a Exame Informática.

Atualmente a EDP ainda está em fase de reposição das várias máquinas e diretorias afetadas pelo ataque, que foi anunciado pela primeira vez numa notícia do Jornal de Notícias de 13 de abril. Apesar de não adiantar quaisquer números, a EDP confirma que ainda está em fase de recuperação dos sistemas atacados – provavelmente através da reposição de cópias de segurança dos sistemas que ficaram bloqueados pelos códigos maliciosos de ransomware, que foram injetados pelos hackers.

“Os trabalhos de recuperação foram de imediato iniciados e continuam a ser executados de forma ininterrupta pelas nossas equipas de forma a repor a normalidade o mais rapidamente possível. Os serviços essenciais de produção e distribuição de energia nunca foram interrompidos nem afetados por este incidente e, nesta fase, os serviços de suporte críticos também já estão em funcionamento”, refere a EDP, quando contactada pela Exame Informática.

A “elétrica” nacional não comenta a tese que atribui a um fornecedor tecnológico estrangeiro a origem do contágio por ransomware e também não refere qualquer pista ou indício sobre a identidade dos hackers.

“A EDP está a analisar a origem e a anatomia do ataque em estreita colaboração com diversas entidades especializadas neste domínio, que têm vindo a acompanhar a situação desde o primeiro momento, e continuará a dar todo o apoio necessário a esta investigação”, refere fonte oficial da EDP, sem deixar de sublinhar que “as condições em que o ataque foi feito continuam em averiguação articulada com as entidades competentes”.

Ataque teve origem numa empresa de outsourcing que trabalha com a EDP. Os hackers conseguiram bloquear centenas de servidores e sistemas, mas não conseguiram chegar às máquinas que asseguram a produção e a distribuição de energia no País
António Mexia, presidente executivo da EDP, defendeu a distribuição de dividendos a acionistas na passada assembleia geral da empresa. No circuito da cibersegurança, há quem relacione o ataque de ransomware com uma tentativa de desestabilização da assembleia geral
No circuito de cibersegurança nacional, já se sabe que o ataque de ransomware teve por base um software que dá pelo nome de Ragnar Locker. Desde o início do ano, que este software que sequestra computadores e bases de dados com recurso a ferramentas de encriptação tem vindo a ganhar popularidade junto do cibercrime organizado. Além de bloquear computadores infetados, o Ragnar Locker distingue-se por dispor de uma funcionalidade que permite a cópia de dados. O que garante aos cibercriminosos a possibilidade de ameaçarem com a divulgação de dados, no caso de as vítimas não se atemorizarem com o bloqueio das bases de dados.

Além de ameaçarem com o bloqueio de sistemas e bases de dados, os hackers que atacaram a EDP também ameaçaram com a divulgação da informação extraída durante o ataque. E essa ameaça ajuda a confirmar as duas opções de chantagem possibilitadas pelo Ragnar Locker – mas não chega para responder a outras questões que permanecem em aberto.

Nas páginas de resgate publicadas na Dark Web, os hackers garantiram que tinham conseguido extrair 10 TB de dados – mas essa mensagem terá suscitado estranheza entre os profissionais da empresa e mesmo alguns especialistas de cibersegurança. De acordo com fontes contactadas pela Exame Informática, há dúvidas de que os hackers tenham realmente conseguido enviar os 10 TB de dados para fora das redes da EDP.

Para que essa exfiltração de dados fosse possível, os cibercriminosos teriam de encontrar forma de ludibriar os “sensores” de rede que lançam alertas de segurança sempre que detetam um grande afluxo de tráfego. E aparentemente nenhum desses alertas foi desencadeado. Pelo que, eventualmente, esses hackers não chegaram a extrair os conteúdos das diferentes diretorias e apenas terão necessitado de garantir o acesso à rede para recolherem informação descritiva ou nomes de ficheiros e pastas, como prova de que houve mesmo intrusão e que o bloqueio de ransomware poderia ser aplicado a qualquer momento.

O facto de o ataque ter sido anunciado alguns dias antes da assembleia geral que determinou a distribuição de 694,7 milhões de euros aos acionistas da EDP também suscitou dúvidas quanto aos reais propósitos dos hackers. Desde a primeira notícia até à atualidade, a EDP tem garantido que nunca recebeu um pedido de resgate por via formal – e por essa afirmação se depreende que nunca pagou qualquer resgate.

Em contrapartida, os hackers retiraram as páginas usadas no pedido de resgate quando terminou o prazo máximo definido para o pagamento (meio-dia do passado sábado) – mas passadas poucas horas as mesmas páginas voltaram a ficar disponíveis para consulta de qualquer utilizador da Dark Web, sem que os conteúdos dos ficheiros elencados tenham sido tornados público. À data da publicação deste texto, a página criada pelos hackers mantinha-se no ativo com a mesma mensagem de sempre – apesar de não haver uma razão lógica para isso.

https://visao.sapo.pt/exameinformatica/noticias-ei/internet/2020-04-22-edp-so-a-arquitetura-de-rede-impediu-um-apagao-geral-durante-ataque-de-hackers/

Comentários

Notícias mais vistas:

Rendas congeladas “desesperam” proprietários e inquilinos apontam despejos como medida “oportunista”

Foto: Rodolfo Alexandre Reis  Luís Menezes Leitão, presidente da Associação Lisbonense de Proprietários diz que as propostas do Governo sobre o descongelamento das rendas são “minúsculas” e que mesmo em relação ao despejos “falta muito por esclarecer”. Já António Machado, líder da Associação de Inquilinos Lisbonenses considera que aumentar a liberalização dos contratos significa que “a parte mais fraca ainda fica mais fraca”. Concordam em discordar. É desta forma que os proprietários e inquilinos olham para o conjunto de medidas apresentadas pelo Governo sobre o novo regime do arrendamento urbano (NRAU). No lado da Associação Lisbonense de Proprietários (ALP), o presidente Luís Menezes Leitão, lamenta que o congelamento das rendas antigas a 1990, um dos principais cavalos de batalha da ALP se mantenha praticamente inalterado. “As alterações são minúsculas e só têm significado relativamente a inquilinos que ganhem acima de cinco salários mínimos mensais e mesmo assim estabelece a fi...

Construção da maior central solar em Portugal encravada há mais de dois anos na justiça, apesar de aprovada

Santa Luzia in northeastern Brazil.  EPA/SEBASTIAO MOREIRA  Desde 2024 que a autorização ambiental dada à central solar Fernando Pessoa foi suspensa por decisão do juiz e após impugnação do Ministério Público. Agência do Ambiente recorreu, mas não há decisão. A maior central solar aprovada para Portugal, com mais de mil megawatts (MW) de potência, está parada há mais de dois anos, na sequência de processos judiciais colocados contra a aprovação emitida pelas autoridades ambientais. A atribulada história do projeto, que foi batizado com o nome do poeta Fernando Pessoa, mostra que o licenciamento ambiental — por intervenção da Agência Portuguesa do Ambiente (APA) ou do ICNF (Instituto da Conservação da Natureza de Florestas) — nem sempre é o maior obstáculo à execução dos projetos de energias renováveis. A central solar fotovoltaica Fernando Pessoa está prevista para o concelho de Santiago do Cacém e obteve uma Declaração de Impacte Ambiental (DIA) favorável condicionada em jane...

Como a Google está a transformar smartphones antigos em pequenos servidores

Os smartphones antigos podem ter um destino bem diferente da reciclagem ou de uma gaveta esquecida.  Projeto da Google reutiliza motherboards de smartphones reformados para reduzir a necessidade de fabricar novo hardware. Um projeto apoiado pela Google Research está a demonstrar que é possível reutilizar a motherboard destes equipamentos para criar uma plataforma de computação de baixo impacto ambiental, prolongando a vida útil do hardware e reduzindo a necessidade de produzir novos servidores para determinadas workloads. Reutilizar a parte mais valiosa do smartphone O projeto está a ser desenvolvido por investigadores da Universidade da Califórnia em San Diego, com o apoio da Google Research. Em vez de aproveitarem o smartphone completo, a equipa reutiliza apenas a motherboard, onde se encontram o processador, a memória e o armazenamento, componentes que representam cerca de metade da pegada de carbono incorporada do dispositivo. Depois de removerem os restantes componentes, como ...