Το Καράκας σκοτείνιασε τη στιγμή που οι αμερικανικές δυνάμεις κινήθηκαν για να συλλάβουν τον ηγέτη της Βενεζουέλας Νικολάς Μαδούρο το Σάββατο. Το μπλακ άουτ έκανε περισσότερα από το να κρύψει τα στρατεύματα. έδειξε πώς το κακόβουλο λογισμικό μπορεί να διαμορφώσει τις σύγχρονες μάχες.
Η Διοίκηση Κυβερνοχώρου των ΗΠΑ και οι συμμαχικές μονάδες πιστεύεται ότι έχουν αναπτύξει ένα ωφέλιμο φορτίο εστιασμένο στο δίκτυο εντός του φορέα παροχής ενέργειας της Βενεζουέλας.
Μόλις ενεργοποιηθεί, ο κώδικας άνοιξε αθόρυβα διακόπτες, αποσυγχρονίστηκε τα συστήματα ελέγχου και έκοψε συνδέσμους μεταξύ συσκευών πεδίου και κεντρικών κονσολών.
Το αποτέλεσμα ήταν μια σταδιακή κατάρρευση της εξουσίας σε βασικές συνοικίες του Καράκας, περιορίζοντας τις βλάβες των πολιτών ενώ τυφλώνονταν οι πιστές δυνάμεις σε όλη την πόλη.
Αναλυτές Politico αργότερα αναγνωρισθείς το κακόβουλο λογισμικό ως ένα αρθρωτό εργαλείο επίθεσης πλέγματος, που χαράσσει σαφείς γραμμές σε προηγούμενες εκστρατείες εναντίον περιφερειακών βοηθητικών εταιρειών.
Η ανασκόπησή τους για την τηλεμετρία δικτύου και τα δεδομένα χρονισμού οδηγεί σε έναν προσαρμοσμένο φορτωτή που έφτασε σε δίκτυα ελέγχου μέσω παραβιασμένων πυλών VPN.
Από εκεί, το κακόβουλο λογισμικό χαρτογράφησε ελεγκτές υποσταθμών και επισήμανε τους τροφοδότες προτεραιότητας που παρείχαν ρεύμα στο κεντρικό Καράκας.
Σύμφωνα με περιφερειακούς μηχανικούς δικτύων, τα πρώτα σημάδια προβλήματος εμφανίστηκαν ως σύντομες, κυλιόμενες σταγόνες στις οθόνες παρακολούθησης, όχι ως πλήρης κατάρρευση.
Τα αρχεία καταγραφής εμφανίζουν απότομες αλλά τακτικές διαδρομές σε αρκετές γραμμές 230 kV, ακολουθούμενες από ένα κύμα ψευδών τιμών αισθητήρων που προκάλεσε σύγχυση στους τοπικούς χειριστές. Τη στιγμή που ξεκίνησαν τα εφεδρικά εργοστάσια ντίζελ, ο πυρήνας της πόλης ήταν ήδη σκοτεινός.
Μηχανισμός μόλυνσης και συμπεριφορά ωφέλιμου φορτίου
Η αλυσίδα μόλυνσης ξεκίνησε με ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) που στάλθηκαν σε μηχανικούς της εθνικής υπηρεσίας κοινής ωφέλειας, τα οποία έφεραν ένα υπογεγραμμένο εργαλείο απομακρυσμένης πρόσβασης κρυμμένο σε μια ψεύτικη αναφορά συντήρησης.
Μόλις ένας χρήστης άνοιξε το αρχείο, το πρόγραμμα φόρτωσης χρησιμοποίησε κλεμμένα διαπιστευτήρια VPN για να περιστραφεί στο δίκτυο ελέγχου και, στη συνέχεια, έριξε μια λειτουργική μονάδα δεύτερου σταδίου σε διακομιστές Windows που διαχειρίζονταν σταθμούς εργασίας SCADA και βάσεις δεδομένων ιστορικού.
Σε μολυσμένους διακομιστές, το κακόβουλο λογισμικό έτρεχε έναν σφιχτό βρόχο που ρωτούσε την κατάσταση του ενεργού διακόπτη και έβαζε εντολές τερματισμού στην ουρά μόνο όταν το φορτίο του δικτύου παρέμενε εντός μιας ασφαλούς ζώνης.
Αυτός ο σχεδιασμός συνέβαλε στη διατήρηση της ακρίβειας της απεργίας, στον περιορισμό των ζημιών στο υλικό και στην αργή αναθεώρηση μετά την επιστροφή της πόλης στο διαδίκτυο. Καθυστέρησε επίσης τους ανταποκριτές, οι οποίοι αντιμετώπισαν καθαρά αρχεία καταγραφής, ψεύτικες μετρήσεις και συστήματα που φαινόταν να ανακάμπτουν από μόνα τους.
