Um ataque cibernético “coordenado” que mirou diversos pontos da rede elétrica polonesa foi atribuído, com grau médio de confiança, a um grupo de hackers russos patrocinados pelo Estado e conhecido como ELECTRUM.
Trata-se do primeiro grande ataque digital direcionado a recursos energéticos distribuídos (DERs, na sigla em inglês).
Segundo a Dragos, “o ataque comprometeu sistemas de comunicação e controle em instalações de cogeração de energia térmica e elétrica (CHP), além de afetar sistemas responsáveis pelo despacho de energia renovável proveniente de parques eólicos e solares”.
Embora não tenha causado apagões, os adversários obtiveram acesso a sistemas críticos de OT para a operação da rede, além de desabilitarem equipamentos-chave no local, causando danos irreparáveis.
Vale destacar que os grupos ELECTRUM e KAMACITE compartilham elementos com a organização hacker conhecida como Sandworm (também identificada como APT44 e Seashell Blizzard).
O KAMACITE é especializado em estabelecer e manter acesso inicial a organizações-alvo por meio de spear-phishing, credenciais roubadas e exploração de serviços expostos.
Após conseguir essa porta de entrada, o grupo realiza atividades de reconhecimento e persistência por longos períodos, buscando aprofundar sua infiltração nos ambientes de OT sem ser detectado.
Essa fase preparatória antecede as operações executadas pelo ELECTRUM, voltadas a sistemas de controle industrial.
De acordo com a Dragos, “após habilitar o acesso, o ELECTRUM realiza operações que conectam os ambientes de TI e OT, implantando ferramentas dentro das redes operacionais e executando ações específicas em sistemas de controle industrial (ICS) para manipular controles ou interromper processos físicos”.
Essas ações podem incluir tanto interações manuais em interfaces de operadores quanto o uso de malware sob medida para ICS, dependendo dos objetivos.
Em outras palavras, os dois grupos desempenham papéis distintos, o que permite flexibilidade na execução e facilita intrusões prolongadas focadas em OT quando as condições são favoráveis.
Até julho de 2025, o KAMACITE foi identificado realizando varreduras em dispositivos industriais localizados nos Estados Unidos.
Embora não haja relatos públicos de novas interrupções em OT até o momento, esse comportamento evidencia um modelo operacional que não se restringe a áreas geográficas específicas e favorece a identificação e posicionamento inicial.
“A operação focada em acesso do KAMACITE cria as condições para impacto em OT, enquanto o ELECTRUM aplica seus métodos quando tempo, acesso e nível de risco forem adequados”, explicou a Dragos.
“Essa divisão de tarefas oferece flexibilidade e mantém a opção de causar impacto em OT aberta, mesmo que não seja imediatamente utilizada.
Isso prolonga o risco, deixando o sistema exposto por mais tempo.”
O ataque na Polônia teve como alvo sistemas responsáveis pela comunicação e controle entre operadores da rede e recursos energéticos distribuídos, incluindo aqueles que garantem a conectividade da rede, permitindo ao adversário interromper com sucesso operações em cerca de 30 locais de geração distribuída.
Os invasores teriam comprometido unidades terminais remotas (RTUs) e a infraestrutura de comunicação, usando dispositivos de rede expostos e explorando vulnerabilidades como vetores iniciais.
Os dados indicam que o grupo demonstra profundo conhecimento da infraestrutura da rede elétrica, o que lhe possibilitou desabilitar equipamentos de comunicação, incluindo alguns de tecnologia operacional.
Todavia, a extensão completa das ações maliciosas do ELECTRUM ainda é desconhecida.
A Dragos informa que não está claro se o grupo tentou emitir comandos operacionais ou focou apenas em desativar as comunicações.
Além disso, o ataque na Polônia parece ter sido mais oportunista e apressado do que um plano meticuloso, com os hackers aproveitando o acesso não autorizado para causar o máximo de dano possível, apagando dispositivos baseados em Windows para dificultar a recuperação, redefinindo configurações ou tentando inutilizar equipamentos permanentemente.
A maior parte dos dispositivos visados é usada para monitorar a segurança e estabilidade da rede
“Esse incidente mostra que adversários com capacidades específicas em OT estão ativamente mirando sistemas que monitoram e controlam a geração distribuída”, afirmou a empresa.
“Desabilitar equipamentos de ICS além do reparo transformou o que poderia ter sido uma tentativa inicial de posicionamento dos atacantes em um ataque efetivo.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...