A operação atingiu sistemas de comunicação e controle ligados a recursos energéticos distribuídos, afetou cerca de 30 locais de geração e danificou equipamentos de OT sem causar apagões.
| Componente | Sistemas de comunicação e controle em ambientes de tecnologia operacional ligados a instalações de cogeração de calor e energia, recursos energéticos distribuídos e despacho de energia eólica e solar. |
| Vetor | Acesso inicial por dispositivos de rede expostos e exploração de vulnerabilidades, com apoio de operações orientadas a acesso atribuídas ao agrupamento KAMACITE. |
| Impacto | Interrupção operacional em cerca de 30 locais de geração distribuída, desativação de equipamentos de comunicação e de OT, limpeza de dispositivos Windows para dificultar recuperação e dano irreparável a parte dos equipamentos, sem apagão confirmado. |
| Prioridade | Revisar exposição de dispositivos de rede, segmentar caminhos entre TI e OT, validar integridade de RTUs e equipamentos de comunicação, e priorizar recuperação verificada de sistemas de monitoramento de segurança e estabilidade da rede. |
| Atores | ELECTRUM foi associado às ações de impacto em OT; KAMACITE foi descrito como agrupamento voltado a acesso inicial, reconhecimento e persistência. Ambos têm sobreposição com Sandworm, também referido como APT44 e Seashell Blizzard. |
| Limite conhecido | O escopo completo das ações em equipamentos industriais não está claro; não há confirmação pública de que comandos operacionais tenham sido emitidos contra os ativos afetados. |
A atividade de dezembro de 2025 contra a rede elétrica da Polônia foi associada ao agrupamento ELECTRUM, alinhado à Rússia, e se destacou por atingir sistemas que interligam operadores de rede a recursos energéticos distribuídos. A operação afetou comunicação e controle em instalações de cogeração de calor e energia, além de sistemas usados para o despacho de energia renovável em locais de geração eólica e solar. O ponto central para equipes de defesa é que o incidente não foi descrito como um apagão, mas como uma degradação direta de componentes de OT e comunicação que sustentam operação, monitoramento, estabilidade e recuperação da rede.
A ação atingiu aproximadamente 30 locais de geração distribuída. Os atacantes teriam acessado unidades terminais remotas, infraestrutura de comunicação e equipamentos relacionados por meio de dispositivos de rede expostos e vulnerabilidades exploradas. Parte dos equipamentos foi desativada além de reparo no local, enquanto dispositivos Windows foram apagados para dificultar a restauração. Também houve redefinição de configurações e tentativa de inutilizar permanentemente equipamentos. Esses elementos indicam uma operação com impacto físico-operacional limitado ao ambiente afetado, mas suficientemente grave para transformar uma presença não autorizada em ataque contra sistemas industriais.
O modelo operacional descrito separa funções entre KAMACITE e ELECTRUM. KAMACITE atua na camada de acesso, usando spear-phishing, credenciais roubadas e exploração de serviços expostos para estabelecer entrada inicial e manter presença em organizações alvo. Depois do acesso, o agrupamento realiza reconhecimento, persistência e permanência discreta por períodos prolongados, criando as condições para que ações posteriores possam alcançar o ambiente de tecnologia operacional. Essa etapa é relevante porque o risco não começa no momento da interrupção industrial; ele pode permanecer latente enquanto o adversário mapeia dependências, rotas de administração, sistemas de comunicação e pontos em que TI e OT se conectam.
ELECTRUM aparece como o componente de execução voltado a OT. O agrupamento conduz operações que atravessam ambientes de TI e OT, posiciona ferramentas em redes operacionais e executa ações específicas contra sistemas de controle industrial. Em operações atribuídas a esse ecossistema, essas ações podem envolver interação manual com interfaces de operador e uso de malware desenvolvido para ICS, conforme os objetivos e as condições do acesso. No caso polonês, o dado confirmado é a desativação e degradação de equipamentos de comunicação e OT; o material analisado não confirma se os operadores tentaram emitir comandos operacionais aos ativos industriais ou se a operação se concentrou em interromper comunicações.
A atividade foi avaliada como mais oportunista e apressada do que como uma ação precisamente planejada. Isso não reduz o risco técnico: pelo contrário, sugere que acesso prévio a dispositivos expostos e entendimento suficiente da infraestrutura elétrica permitiram aos invasores causar dano quando a oportunidade apareceu. A limpeza de dispositivos Windows, a redefinição de configurações e a tentativa de inutilizar equipamentos ampliam o tempo de recuperação, prejudicam análise forense e obrigam a equipe de resposta a validar não apenas disponibilidade, mas também integridade de configuração, estado operacional e confiabilidade de cada componente restaurado.
A superfície diretamente exposta inclui sistemas que facilitam comunicação e controle entre operadores de rede e ativos de DER, incluindo conectividade de rede, RTUs e equipamentos de OT usados no monitoramento de segurança e estabilidade. O impacto se concentra em locais de geração distribuída, não em um único data center ou sistema corporativo isolado. Esse detalhe muda a prioridade defensiva: inventário, segmentação, acesso remoto, administração de dispositivos de rede e validação de configuração industrial precisam ser tratados como uma cadeia única, porque a interrupção em comunicação pode limitar a visibilidade e a capacidade de controle mesmo sem desligamento amplo de energia.
A existência de varredura contra dispositivos industriais nos Estados Unidos atribuída a KAMACITE em julho de 2025 amplia o alerta para além da Polônia. Não há confirmação pública de interrupções adicionais de OT ligadas a essa varredura, mas o padrão mostra um modelo que pode identificar exposição, posicionar acesso e manter a opção de impacto para outro momento. Para operadores de infraestrutura, isso significa que a ausência de dano imediato não deve ser interpretada como ausência de intrusão; acessos orientados a reconhecimento e persistência podem ser parte de preparação prolongada.
- Instalações de cogeração de calor e energia conectadas a sistemas de comunicação e controle operacional.
- Locais de geração distribuída associados a energia eólica e solar, incluindo sistemas de despacho.
- RTUs, dispositivos de rede expostos, equipamentos de comunicação e componentes de OT usados para monitoramento de estabilidade e segurança da rede.
- Dispositivos Windows presentes no ambiente operacional ou em funções de suporte à recuperação e administração.
A caça deve começar pela relação entre acessos de TI e ativos de OT. Eventos de autenticação anômalos, uso de credenciais fora do padrão, conexões administrativas para dispositivos de rede expostos e mudanças de configuração próximas ao período de degradação são sinais prioritários. Como o acesso inicial pode envolver credenciais roubadas e exploração de serviços expostos, a investigação precisa correlacionar identidade, borda de rede, VPN, firewalls, bastion hosts, servidores Windows de apoio e trilhas de administração de equipamentos industriais. O objetivo é reconstruir o caminho até os ativos de comunicação e validar se o acesso foi pontual ou persistente.
Em OT, a telemetria deve privilegiar mudanças de estado e perda de comunicação. Quedas incomuns de links com RTUs, reinicializações sem janela de manutenção, alteração de parâmetros de rede, redefinição de configuração, perda de visibilidade de ativos e falhas simultâneas em múltiplos locais de geração distribuída devem ser analisadas em conjunto. A limpeza de dispositivos Windows para impedir recuperação também exige coleta rápida de evidências remanescentes em controladores de domínio, servidores de logs, ferramentas de administração, backups, EDR, SIEM e sistemas de gerenciamento de configuração.
- Conexões administrativas incomuns entre redes corporativas e segmentos de OT ou comunicação industrial.
- Alterações de configuração em dispositivos de rede, RTUs e equipamentos de comunicação fora de janelas aprovadas.
- Eventos de limpeza, reinstalação, falha de inicialização ou perda de artefatos forenses em dispositivos Windows ligados ao ambiente operacional.
- Perda simultânea de comunicação com múltiplos locais de geração distribuída ou degradação de sistemas de despacho de energia renovável.
- Sinais de reconhecimento prolongado, como enumeração de ativos industriais, varredura de serviços expostos e tentativas repetidas de autenticação.
A resposta deve priorizar contenção de caminhos entre TI e OT, restauração confiável de comunicação e validação de integridade dos equipamentos afetados. Antes de recolocar ativos em operação normal, é necessário comparar configurações com baselines aprovadas, verificar firmware e estado operacional, revisar contas administrativas e confirmar que não há persistência em dispositivos de rede, servidores Windows ou estáções usadas para operação. Como parte dos equipamentos foi descrita como danificada além de reparo no local, substituição física e revalidação de confiança podem ser mais adequadas do que simples restauração lógica.
No nível preventivo, a principal medida é reduzir a exposição que permite o primeiro acesso. Serviços acessíveis pela internet, dispositivos de rede sem necessidade de exposição direta, credenciais reutilizadas e caminhos administrativos sem segmentação efetiva aumentam a probabilidade de que um ator orientado a acesso crie as condições para impacto posterior. Ambientes de energia distribuída também precisam de exercícios de recuperação que assumam perda de comunicação, indisponibilidade de dispositivos Windows de suporte e necessidade de operar com telemetria parcial enquanto a integridade de RTUs e equipamentos industriais é confirmada.
- Remover exposição desnecessária de dispositivos de rede e serviços usados para administração de ambientes industriais.
- Aplicar correções disponíveis e revisar vulnerabilidades exploráveis em equipamentos de comunicação, borda e acesso remoto.
- Segmentar rotas entre TI e OT com controle explícito de identidade, salto administrativo registrado e monitoramento contínuo.
- Validar configurações de RTUs, equipamentos de comunicação e sistemas de monitoramento contra baselines conhecidas e aprovadas.
- Rotacionar credenciais administrativas associadas a acessos suspeitos e revisar contas com privilégio sobre redes operacionais.
- Testar restauração a partir de backups confiáveis, incluindo cenários em que dispositivos Windows de suporte tenham sido apagados.
- Preservar evidências antes de reconstrução sempre que possível, priorizando logs centralizados, registros de autenticação, imagens de sistemas críticos e histórico de configuração.
0 Comentários