A Corporação de Energia Nuclear da Índia (NPCIL) confirmou agora que houve um ataque cibernético à usina nuclear de Kudankulam (KKNPP) em Tamil Nadu, Índia, em setembro. A rede administrativa da usina nuclear foi violada no ataque, mas não houve nenhum dano crítico. Os funcionários da usina KKNPP inicialmente negaram ter sofrido um ataque e declararam oficialmente que a KKNPP "e outras usinas nucleares indianas são independentes e não estão conectadas à rede cibernética e à internet externas. Qualquer ataque cibernético ao Sistema de Controle da Usina Nuclear não é possível".
Então, o que realmente aconteceu em Kudankulam? Aqui está o que você precisa saber.
A usina nuclear e o ataque cibernético
A KKNPP é a maior usina nuclear da Índia, equipada com dois reatores de água pressurizada VVER, projetados e fornecidos pela Rússia, com capacidade de 1.000 megawatts cada. Ambas as unidades do reator alimentam a rede elétrica do sul da Índia. A usina está adicionando mais quatro unidades de reatores da mesma capacidade, tornando a usina nuclear de Kudankulam uma das maiores colaborações entre Índia e Rússia.
De acordo com a declaração da NPCIL, o ataque de malware à KKNPP foi notado em 4 de setembro pela CERT-In (equipe de resposta a emergências de computadores da Índia), que é a agência nacional que responde a incidentes de segurança cibernética. A investigação do Departamento de Energia Atômica da Índia revelou que um usuário havia conectado um computador pessoal infectado por malware à rede administrativa da usina. Embora a rede e os sistemas operacionais da usina estejam isolados e não estejam conectados à rede administrativa, um jornal informou que pode ter havido um segundo alvo "mais sério".
O VirusTotal, um site de verificação de vírus de propriedade da empresa-mãe do Google, a Alphabet, indicou que uma grande quantidade de dados da rede administrativa da KKNPP foi roubada. Se isso for verdade, ataques futuros à usina nuclear poderiam atingir seus sistemas críticos de maneira mais eficaz. Os ataques cibernéticos a usinas nucleares podem ter efeitos físicos, especialmente se a rede que opera as máquinas e o software que controla o reator nuclear estiverem comprometidos. Isso pode ser usado para facilitar a sabotagem, roubo de materiais nucleares ou, no pior dos casos, um colapso do reator. Em um país densamente povoado como a Índia, qualquer liberação de radiação de uma instalação nuclear seria um enorme desastre.
Isolar a rede de computadores da internet não protege contra ataques direcionados
Em sua negação inicial, a NPCIL declarou que "nenhum ataque cibernético ao sistema de controle da usina nuclear é possível". O diretor local da KKNPP declarou que "a rede totalmente isolada do KKNPP não podia ser acessada por nenhuma rede externa de nenhuma parte do globo. Portanto, não há possibilidade de ela ter sido invadida". Mesmo a segunda declaração da NPCIL enfatiza que "a rede interna crítica" estava isolada da rede administrativa e, por consequência, da internet.
Essa separação física de um computador ou de uma rede local da internet para impedir qualquer violação externa é chamada de "air gap" (lacuna de ar). No entanto, essa estratégia de segurança pode deixar uma usina nuclear bastante vulnerável. Assim, a declaração da NPCIL ou reflete uma complacência sobre a segurança cibernética das usinas nucleares indianas ou a ignorância das vulnerabilidades de sua rede.
Instalações nucleares com esse tipo de isolamento podem ser atacadas. O método "air gap" pode ser eficaz contra ameaças cibernéticas não sofisticadas e não direcionadas - mas não contra ataques direcionados. Como a Iniciativa de Ameaças Nucleares declara em seu relatório de 2016 sobre ameaças cibernéticas a instalações nucleares, os ataques direcionados vão além das conexões de rede e geralmente usam "humanos voluntários ou involuntários, ou uma cadeia de suprimentos longa e difícil de defender, para realizar o ataque". Outro relatório do Grupo de Trabalho de Materiais Físseis (uma coalizão de organizações da sociedade civil global) destaca que, na prática, "as organizações devem transferir dados para dentro e para fora de suas redes operacionais por vários motivos". Por exemplo, novos dados precisam ser inseridos mesmo em uma rede operacional isolada para atualizar o software e o hardware na rede. Isso expõe a rede interna em uma usina nuclear a uma série de vulnerabilidades. Um caso conhecido é o ataque pelo worm de computador Stuxnet que penetrou na instalação de enriquecimento de urânio Natanz, no Irã, isolada com o método "air gap".
A Coreia do Norte lançou o ataque?
Alguns pesquisadores indicam que o ataque da KKNPP foi causado por uma variante do vírus DTRACK, desenvolvido pelo grupo Lazarus, vinculado à Coreia do Norte. A NPCIL não contestou essas alegações. A Índia mantém boas relações diplomáticas e econômicas com a Coreia do Norte; portanto, se Pyongyang patrocinou o ataque, espere uma crise diplomática.
No entanto, rastrear um ataque cibernético até a Coreia do Norte não será fácil. Estudos indicam que a maioria das operações cibernéticas norte-coreanas patrocinadas pelo Estado são realizadas no exterior. Quase um quinto é lançado da Índia, onde cidadãos da Coreia do Norte têm uma presença considerável. Estudantes norte-coreanos estão presentes em universidades e outros centros de ensino superior da Índia. O programa de cooperação técnica e econômica da Índia (ITEC) treina muitos estudantes norte-coreanos na Índia em vários campos técnicos. Isso significa que um ataque cibernético da Coreia do Norte poderia até ter origem no território indiano.
No passado, a atividade cibernética norte-coreana teve como alvo o Centro Nacional de Sensoriamento Remoto da Organização de Pesquisa Espacial da Índia e o Laboratório Nacional de Metalurgia da Índia, e conduziu o reconhecimento de redes em laboratórios e centros de pesquisa. Portanto, não se pode descartar o uso de seres humanos, em vez de conexões de rede, para contornar um air gap em infraestrutura vital da Índia por norte-coreanos ou seus associados. O malware que atacou o sistema da KKNPP teria sido desenvolvido sob medida para os sistemas de TI da usina nuclear. Isso indica que uma violação por alguém de dentro da usina nuclear já pode ter acontecido.
Esses ataques podem levar a uma escalada militar?
Embora o ataque de Kudankulam não tenha causado danos críticos aos sistemas ou, aparentemente, não tenha afetado os reatores, ele revelou que as defesas cibernéticas da Índia se baseiam em princípios ultrapassados, como a estratégia de air gap. As negações iniciais dos funcionários da NPCIL indicaram uma sensação de complacência sobre defesa cibernética, o que significa que a infraestrutura crítica da Índia é vulnerável a ataques.
Os ataques cibernéticos podem aumentar o risco de escalada militar. Desde a recente crise na Caxemira, houve um aumento de ataques cibernéticos do Paquistão à Índia. Os indianos também têm respondido com suas próprias operações cibernéticas contra o Paquistão. Dada a propensão de escalada militar entre a Índia e o Paquistão, e o alto potencial de escalada do mundo cibernético para o mundo real, a Índia deveria tratar o ataque de Kudankulam como um alerta sobre a vulnerabilidade de suas defesas cibernéticas em instalações nucleares e outras infraestruturas críticas.