Avançar para o conteúdo principal

EDP: só a arquitetura de rede impediu um apagão geral durante ataque de hackers


Ataque de ransomware teve origem em empresa de outsourcing que trabalha com a EDP. Centenas de sistemas e servidores ficaram bloqueados durante o ataque de hackers

Os hackers que lançaram o sequestro digital da rede da EDP ainda não foram identificados, mas já não restam muitas dúvidas de que o ataque só se tornou possível depois do contágio de um prestador de serviços tecnológicos estrangeiro que tem vindo a trabalhar com a EDP. A Exame Informática apurou que os hackers terão tentado infetar o máximo de servidores e sistemas que encontraram depois da intrusão – e só não deixaram parte ou a totalidade do País ‘às escuras’ e sem energia elétrica porque as redes usadas pelas unidades de produção e distribuição da EDP estão tecnologicamente segregadas das redes que asseguram os processos de gestão, marketing, recursos humanos, inovação, entre outras áreas que não precisam de usar sistemas industriais.

Além de operarem com sistemas operativos típicos de ambiente industrial, que são diferentes daqueles que é costume usar em computadores pessoais ou nos servidores que suportam as atividades de escritório, os equipamentos e redes das unidades de produção e distribuição de eletricidade estão configurados para impedir comandos enviados de forma automatizada de fora dessas redes – o que abrange igualmente os comandos que venham das redes da EDP que não pertencem a essas unidades de produção e distribuição.

Além de múltiplas redundâncias e proteções para as tentativas de ataque, os sistemas usados pelas diferentes subestações das redes elétricas, geralmente, exigem o uso de protocolos específicos que, muitas vezes, são do conhecimento exclusivo dos fabricantes e que podem variar consoante o modelo ou o ano de fabrico.

Os trabalhos de recuperação foram de imediato iniciados e continuam a ser executados de forma ininterrupta pelas nossas equipas de forma a repor a normalidade o mais rapidamente possível

FONTE INSTITUCIONAL DA EDP
Fonte conhecedora do processo enaltece a capacidade de reação dos “informáticos” da EDP que permitiu atenuar a gravidade do ataque, mas lembra que foi o trabalho levado a cabo aquando do desenho e implementação da arquitetura da rede da “elétrica” nacional que evitou uma potencial situação de caos no País. Até porque os hackers tentaram deitar mão a todos os servidores que conseguiram localizar para garantirem uma posição negocial privilegiada antes de publicarem na Dark Web um pedido de resgate de cerca de 10 milhões de euros, com printscreens que descrevem o diagrama da rede e cinco pastas com as designações de múltiplas diretorias e ficheiros “sequestrados” e milhares de passwords de profissionais do grupo EDP em diferentes países (a EDP está presente em 19 mercados).

“A EDP tinha um castelo bem desenhado e construído, com boas muralhas, boas ameias, e bons controlos de portas. O problema veio dos serviços de outsourcing que eram prestados por um fornecedor de tecnologias que nem sequer tinha uma cerca para se proteger”, explica, com recurso à metáfora, essa mesma fonte sob anonimato.

A tese que aponta para a arquitetura da rede como a principal razão que impediu um apagão foi também confirmada por mais uma fonte conhecedora do caso, sob condição de anonimato. “Para se conseguir atacar as redes de produção e distribuição são necessários ataques específicos para estes sistemas industriais. O que não parece ter sido o caso”, refere esta segunda fonte.

Centenas de sistemas bloqueados

Apesar de não terem conseguido deixar o País às escuras, os hackers terão sido bem sucedidos a infetar “centenas de sistemas e servidores” com códigos de ransomware, apurou a Exame Informática.

Atualmente a EDP ainda está em fase de reposição das várias máquinas e diretorias afetadas pelo ataque, que foi anunciado pela primeira vez numa notícia do Jornal de Notícias de 13 de abril. Apesar de não adiantar quaisquer números, a EDP confirma que ainda está em fase de recuperação dos sistemas atacados – provavelmente através da reposição de cópias de segurança dos sistemas que ficaram bloqueados pelos códigos maliciosos de ransomware, que foram injetados pelos hackers.

“Os trabalhos de recuperação foram de imediato iniciados e continuam a ser executados de forma ininterrupta pelas nossas equipas de forma a repor a normalidade o mais rapidamente possível. Os serviços essenciais de produção e distribuição de energia nunca foram interrompidos nem afetados por este incidente e, nesta fase, os serviços de suporte críticos também já estão em funcionamento”, refere a EDP, quando contactada pela Exame Informática.

A “elétrica” nacional não comenta a tese que atribui a um fornecedor tecnológico estrangeiro a origem do contágio por ransomware e também não refere qualquer pista ou indício sobre a identidade dos hackers.

“A EDP está a analisar a origem e a anatomia do ataque em estreita colaboração com diversas entidades especializadas neste domínio, que têm vindo a acompanhar a situação desde o primeiro momento, e continuará a dar todo o apoio necessário a esta investigação”, refere fonte oficial da EDP, sem deixar de sublinhar que “as condições em que o ataque foi feito continuam em averiguação articulada com as entidades competentes”.

Ataque teve origem numa empresa de outsourcing que trabalha com a EDP. Os hackers conseguiram bloquear centenas de servidores e sistemas, mas não conseguiram chegar às máquinas que asseguram a produção e a distribuição de energia no País
António Mexia, presidente executivo da EDP, defendeu a distribuição de dividendos a acionistas na passada assembleia geral da empresa. No circuito da cibersegurança, há quem relacione o ataque de ransomware com uma tentativa de desestabilização da assembleia geral
No circuito de cibersegurança nacional, já se sabe que o ataque de ransomware teve por base um software que dá pelo nome de Ragnar Locker. Desde o início do ano, que este software que sequestra computadores e bases de dados com recurso a ferramentas de encriptação tem vindo a ganhar popularidade junto do cibercrime organizado. Além de bloquear computadores infetados, o Ragnar Locker distingue-se por dispor de uma funcionalidade que permite a cópia de dados. O que garante aos cibercriminosos a possibilidade de ameaçarem com a divulgação de dados, no caso de as vítimas não se atemorizarem com o bloqueio das bases de dados.

Além de ameaçarem com o bloqueio de sistemas e bases de dados, os hackers que atacaram a EDP também ameaçaram com a divulgação da informação extraída durante o ataque. E essa ameaça ajuda a confirmar as duas opções de chantagem possibilitadas pelo Ragnar Locker – mas não chega para responder a outras questões que permanecem em aberto.

Nas páginas de resgate publicadas na Dark Web, os hackers garantiram que tinham conseguido extrair 10 TB de dados – mas essa mensagem terá suscitado estranheza entre os profissionais da empresa e mesmo alguns especialistas de cibersegurança. De acordo com fontes contactadas pela Exame Informática, há dúvidas de que os hackers tenham realmente conseguido enviar os 10 TB de dados para fora das redes da EDP.

Para que essa exfiltração de dados fosse possível, os cibercriminosos teriam de encontrar forma de ludibriar os “sensores” de rede que lançam alertas de segurança sempre que detetam um grande afluxo de tráfego. E aparentemente nenhum desses alertas foi desencadeado. Pelo que, eventualmente, esses hackers não chegaram a extrair os conteúdos das diferentes diretorias e apenas terão necessitado de garantir o acesso à rede para recolherem informação descritiva ou nomes de ficheiros e pastas, como prova de que houve mesmo intrusão e que o bloqueio de ransomware poderia ser aplicado a qualquer momento.

O facto de o ataque ter sido anunciado alguns dias antes da assembleia geral que determinou a distribuição de 694,7 milhões de euros aos acionistas da EDP também suscitou dúvidas quanto aos reais propósitos dos hackers. Desde a primeira notícia até à atualidade, a EDP tem garantido que nunca recebeu um pedido de resgate por via formal – e por essa afirmação se depreende que nunca pagou qualquer resgate.

Em contrapartida, os hackers retiraram as páginas usadas no pedido de resgate quando terminou o prazo máximo definido para o pagamento (meio-dia do passado sábado) – mas passadas poucas horas as mesmas páginas voltaram a ficar disponíveis para consulta de qualquer utilizador da Dark Web, sem que os conteúdos dos ficheiros elencados tenham sido tornados público. À data da publicação deste texto, a página criada pelos hackers mantinha-se no ativo com a mesma mensagem de sempre – apesar de não haver uma razão lógica para isso.

https://visao.sapo.pt/exameinformatica/noticias-ei/internet/2020-04-22-edp-so-a-arquitetura-de-rede-impediu-um-apagao-geral-durante-ataque-de-hackers/

Comentários

Enviar um comentário

Notícias mais vistas:

Vem aí um Super El Niño histórico em 2026: o que significa para Portugal

  Se tens acompanhado as notícias sobre o clima, já percebeste que a meteorologia de 2026 promete ser muito complicada. Efetivamente, os especialistas do portal  lusometeo.com  alertam que a formação de um Super El Niño em 2026 é agora uma certeza absoluta e os modelos matemáticos mostram dados extremos. Por isso, preparamo-nos para enfrentar o episódio mais violento do último século. O oceano Pacífico Equatorial Leste pode registar um aumento assustador de três graus centígrados acima da média, criando uma bomba-relógio atmosférica. Super El Niño histórico em 2026: afinal, como é que isto afeta o nosso país? Antes de mais, existe um mito muito comum que precisa de ser desfeito imediatamente. Como explica claramente a equipa do portal lusometeo.com, este fenómeno não tem uma ligação direta com o estado do tempo diário em Portugal. Neste sentido, não vais sentir um impacto meteorológico automático no teu quintal só porque o Pacífico aqueceu. Contudo, isto não significa de ...
Enviar um comentário
Ler mais

Supercarregadores portugueses surpreendem mercado com 600 kW e mais tecnologia

 Uma jovem empresa portuguesa surpreendeu o mercado mundial de carregadores rápidos para veículos eléctricos. De uma assentada, oferece potência nunca vista, até 600 kW, e tecnologias inovadoras. O nome i-charging pode não dizer nada a muita gente, mas no mundo dos carregadores rápidos para veículos eléctricos, esta jovem empresa portuguesa é a nova referência do sector. Nasceu somente em 2019, mas isso não a impede de já ter lançado no mercado em Março uma gama completa de sistemas de recarga para veículos eléctricos em corrente alterna (AC), de baixa potência, e de ter apresentado agora uma família de carregadores em corrente contínua (DC) para carga rápida com as potências mais elevadas do mercado. Há cerca de 20 fabricantes na Europa de carregadores rápidos, pelo que a estratégia para nos impormos passou por oferecermos um produto disruptivo e que se diferenciasse dos restantes, não pelo preço, mas pelo conteúdo”, explicou ao Observador Pedro Moreira da Silva, CEO da i-charging...
Enviar um comentário
Ler mais

Tecnologia pode matar a proibição de condução aos 75 anos

 O debate sobre a segurança nas estradas é fundamental e a preocupação com o aumento do risco de condução com a idade avançada é legítima. No entanto, a proposta que quer acabar com a condução automóvel a partir dos 75 anos em Portugal, baseando-se numa simples operação matemática, é uma solução simplista e, de certa forma, preguiçosa. Efetivamente, esta medida ignora a realidade individual de cada condutor. Pior ainda, o impacto social devastador que teria ao condenar milhares de idosos ao isolamento e à perda brutal de independência, especialmente em zonas com poucos transportes públicos. Então como resolver a proibição de condução aos 75 anos? A discussão não deveria focar-se apenas na idade, mas sim em como podemos utilizar a inovação técnica para resolver este dilema social. Na verdade, na Leak.pt, acreditamos que a tecnologia tem o potencial de tornar esta proposta obsoleta antes mesmo de ser implementada. Isto através da transformação do automóvel num verdadeiro parceiro int...
Enviar um comentário
Ler mais