O governo dos EUA declarou estado de emergência em algumas regiões do país no domingo (09/05) depois que a maior rede de gasodutos do país sofreu um ataque cibernético na noite de sexta-feira, paralisando o fluxo de combustível. Um grupo de hackers desconectou completamente a rede e roubou mais de 100 GB de informações do oleoduto da empresa Colonial.
O duto transporta mais de 2,5 milhões de barris de óleo por dia, o que corresponde a 45% do abastecimento de diesel, gasolina e querosene de aviação da costa leste dos EUA. Analistas do mercado de petróleo dizem que, como consequência, os preços dos combustíveis devem subir entre 2% e 3% nesta segunda-feira.
Mas o impacto será ainda pior se o "apagão" do oleoduto continuar por muito mais tempo. Os EUA trabalharam na noite de domingo para restaurar o serviço, mas devido às constantes falhas nas linhas principais, o governo decidiu decretar o estado de emergência para facilitar o transporte de combustível por outros meios, principalmente rodoviários.
"Esta emergência é uma resposta ao fechamento inesperado do sistema de dutos da Colonial devido a problemas de rede que afetam o fornecimento de gasolina, diesel, querosene de aviação e outros produtos petrolíferos refinados nos Estados afetados", disse o Departamento de Transportes, em nota oficial.
O estado de emergência abrange 17 Estados do país e suspende as restrições de horário para o transporte rodoviário de combustíveis.
O que se sabe sobre o ataque cibernético?
Várias fontes confirmaram que o ataque cibernético foi causado por um grupo de hackers chamado DarkSide, que se infiltrou na rede da Colonial na quinta-feira.
"Pouco depois de tomar conhecimento do ataque, a Colonial desligou de forma proativa certos sistemas para conter a ameaça. Essas ações interromperam temporariamente todas as operações do oleoduto e afetaram alguns de nossos sistemas de tecnologia, que estamos ativamente em processo de restaurar", disse a empresa.
A empresa de energia disse em um comunicado que está trabalhando com as autoridades policiais, especialistas em segurança cibernética e o Departamento de Energia para restaurar o serviço.
No comunicado, a Colonial especifica que embora as suas quatro linhas principais permaneçam fora de serviço, algumas linhas laterais menores entre os terminais e os pontos de entrega já estão funcionando.
"Estamos em processo de restauração do serviço para outras laterais e colocaremos todo o nosso sistema online novamente somente quando julgarmos seguro fazê-lo e em total conformidade com a aprovação de todas as regulamentações federais", esclareceu.
O analista independente de mercado Gaurav Sharma disse à BBC que, como resultado do ataque, agora há muito combustível encalhado nas refinarias do Texas. Com o estado de emergência, os produtos petrolíferos poderão ser enviados por caminhões-pipa para Nova York, mas ainda assim isso não ficaria abaixo da capacidade do oleoduto.
"A menos que eles resolvam tudo até terça-feira, eles estarão com um grande problema", diz Sharma.
"As primeiras áreas a serem afetadas serão Atlanta e Tennessee, e depois o efeito cascata chegará a Nova York", disse ele.
O ataque cibernético ocorre em um momento em que as reservas dos EUA estão diminuindo e a demanda, especialmente por combustíveis para veículos, está aumentando. Os consumidores estão voltando às estradas na medida em que a economia dos EUA tenta se recuperar dos efeitos da pandemia.
Como o ataque aconteceu?
De acordo com a Digital Shadows, uma empresa de segurança cibernética com sede em Londres que rastreia criminosos cibernéticos globais, o ataque ocorreu porque os hackers encontraram uma maneira de penetrar no sistema se aproveitando do grande número de engenheiros que acessam remotamente os sistemas de controle do oleoduto.
James Chappell, cofundador e diretor de inovação da Digital Shadows, acredita que a DarkSide obteve detalhes de login de programas de acesso remoto, como TeamViewer e Microsoft Remote Desktop.
A pesquisa inicial da Digital Shadows sugere que os hackers provavelmente estão baseados em um país de língua russa.
Chappell diz que é possível que qualquer pessoa procure os portais de login de computadores conectados à Internet em mecanismos de busca como Shodan e, em seguida, hackers continuem tentando combinações de nomes de usuário e senhas até que alguma delas funcione.
"Estamos vendo muitas casos assim agora, este é um problema sério", diz Chappell.
"Todos os dias há novas vítimas. Há muitas pequenas empresas que são vítimas disso — está se tornando um grande problema para a economia global."
Como a DarkSide opera?
Embora a DarkSide não seja a maior dessas gangues de hackers, o incidente destaca o risco crescente que o ransomware (em que um bloqueio online é feito por criminosos, que cobram um pagamento, geralmente em criptomoedas, para liberar o acesso) representa para a infraestrutura industrial de segurança, e não apenas para o mundo dos negócios.
A DarkSide costuma dar golpes do tipo ransomware. As vítimas de um ataque DarkSide recebem um pacote de informações informando que seus computadores e servidores estão criptografados.
A quadrilha lista então todos os dados que roubou e envia às vítimas o link para uma "página de vazamento pessoal" onde os dados já estão carregados, aguardando a publicação automática, caso a empresa ou organização se negue a pagar o resgate.
De acordo com a Digital Shadows, a DarkSide opera de forma profissional, como se fosse uma empresa.
A quadrilha desenvolve seu próprio software usado para criptografar e roubar dados, e depois treina agentes "afiliados", que recebem um kit de ferramentas contendo o software, um template de ransomware por e-mail e treinamento para realizar ataques.
Os cibercriminosos afiliados então pagam à DarkSide uma porcentagem de seus ganhos de quaisquer ataques de ransomware bem-sucedidos.
Em março, quando lançou seu novo software que podia criptografar dados mais rápido do que antes, a gangue chegou a divulgar um comunicado à imprensa e convidou jornalistas para entrevistar seus integrantes.
Os hackers têm um site na dark web onde se orgulham de seu trabalho e fornecem detalhes sobre suas operações, listando todas as empresas hackeadas e o que foi roubado. Eles também têm uma página com um "código de ética", listando quais organizações a gangue se compromete a não atacar.
A DarkSide também funciona com "access brokers" (intermediários de acesso) — que são hackers que trabalham para coletar os detalhes de login para o maior número possível de contas de usuários em diversos serviços.
Em vez de invadir essas contas, esses intermediários de acesso vendem esses dados de usuário e senha para quem pagar mais — em geral, outras gangues de cibercriminosos que usam esses dados para cometer crimes muito maiores.
EUA buscam retomar dutos após fechamento por ataque cibernético chegar ao 4° dia¹
O governo dos Estados Unidos e a principal operadora de oleodutos do país trabalhavam nesta segunda-feira para assegurar operações de uma rede de dutos que transporta quase metade do suprimento da costa leste do país e foi paralisada após um ataque cibernético, com o fechamento das instalações entrando em seu quarto dia.
O ataque sobre a Colonial Pipeline na semana passada, um dos mais impactantes já registrados, gerou efeitos através do setor de petróleo, afetando a oferta de combustíveis pelo leste dos EUA, gerando até algumas restrições sobre vendas nos postos para os consumidores e pressionando os preços de referência da gasolina para máxima em três anos.
Parlamentares norte-americanos pediram proteções mais fortes para infraestruturas criticas do setor de energia do país, enquanto a Casa Branca colocou a retomada das operações dos dutos como prioridade, organizando uma força-tarefa federal para avaliar o impacto e evitar novas e mais severas interrupções dos serviços.
O sudeste dos EUA deve ser a primeira região a sentir aumentos de preços nas bombas, e a demanda já aumentou, com motoristas buscando encher seus tanques. A região é mais dependente dos dutos impactados e tem menor alternativas de suprimento que Estados do norte. Ela já foi mais afetada em problemas anteriores nos dutos.
Embora investigações do governo dos EUA sobre o ataque estejam em estágio inicial, um ex-membro do governo e três fontes do setor disseram que suspeita-se que os hackers sejam de um grupo de ciber-criminosos chamado "DarkSide".
Especialistas em cibersegurança disseram que o grupo parece ser formado por veteranos de crimes virtuais focados em arrancar o máximo dinheiro possível de seus alvos.
A Colonial disse que retomou no domingo as operações de algumas linhas menores entre terminais de combustíveis e pontos de entrega a consumidores, mas que os principais dutos seguem fechados. A empresa não divulgou projeções sobre uma retomada total das instalações atingidas, que somam 8.850 quilômetros.
O sistema de oleodutos é a principal artéria de distribuição de combustíveis de refinarias na Costa do Golfo para Estados do médio Atlântico e do sudeste. Movimenta mais de 2,5 milhões de barris por dia em gasolina, diesel e combustível de aviação, abastecendo motoristas e importantes aeroportos.
O Departamento de Transporte anunciou medidas de emergência no domingo para facilitar entregas, suspendendo restrições para motoristas de caminhões de combustível em 17 Estados afetados pela paralisação. O órgão ainda pode tomar medidas adicionais se a interrupção continuar.
Operadores do mercado de combustíveis, por sua vez, reservaram provisoriamente pelo menos seis navios-tanque para enviar gasolina da Europa para destinos nos Estados Unidos após o ataque. Dois traders europeus de gasolina, no entanto, disseram que o mercado está adotando uma abordagem cautelosa para ver quanto tempo o fechamento durará.
¹com Agencia Reuters
