Cyberguerras

Stuxnet

De Wikipedia, la enciclopedia libre

Stuxnet es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales,[1] en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares.[2]

Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados.[3] También es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC.[4]

La compañía europea de seguridad digital Kaspersky Labs describía a Stuxnet en una nota de prensa como "un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial". Kevin Hogan, un ejecutivo de Symantec, advirtió que el 60% de los ordenadores contaminados por el gusano se encuentran en Irán, sugiriendo que sus instalaciones industriales podrían ser su objetivo.[5] Kaspersky concluye que los ataques sólo pudieron producirse "con el apoyo de una nación soberana", conviertiendo a Irán en el primer objetivo de una guerra cibernética real.[6] [7] [8]

El objetivo más probable del gusano, según corroboran medios como BBC o el Daily Telegraph,[9] [10] pudieron ser infraestructuras de alto valor pertenecientes a Irán y con sistemas de control de Siemens. Medios como India Times apuntan que el ataque pudo haber retrasado la puesta en marcha de la planta nuclear de Bushehr.[11] Fuentes iraníes han calificado el ataque como "guerra electrónica"[12] aunque minimizan el impacto de los daños en sus instalaciones. Algunos medios como el norteamericano New York Times han atribuido su autoría a los servicios secretos estadounidenses e israelíes.[13]

Historia

A mediados de junio de 2010 la compañía VirusBlokAda informó de su existencia, y se han fechado parte de sus componentes en junio de 2009.[3] El gusano contiene algunos elementos compilados el 3 de febrero de 2010, según indica su time stamp.[14]

Aunque el ataque inicial parece centrarse en Irán, desde entonces la infección ha ido expandiéndose por distintos países. Según la empresa de seguridad Symantec, en agosto de 2010 los principales países infectados eran los siguientes:[15]
País Número de ordenadores infectados
Irán 62,867
Indonesia 13,336
India 6,552
Estados Unidos de América 2,913
Australia 2,436
Gran Bretaña 1,038
Malasia 1,013
Pakistán 993
Alemania 15 [16]


En septiembre se hizo público en el periódico New York Times que el código del gusano contiene la referencia a un archivo con nombre "Myrtus".[17] Este nombre es similar al hebreo Esther, hecho que puede entenderse como una indicación de que Israel podría estar detrás del ataque, o bien como una pista falsa de sus creadores para sembrar confusión.

Método de operación

Stuxnet ataca equipos con Windows empleando cuatro vulnerabilidades de día cero de este sistema operativo, incluyendo la denominada CPLINK y otra empleada por el gusano Conficker. Su objetivo son sistemas que emplean los programas de monitorización y control industrial (SCADA) WinCC/PCS 7 de Siemens.

La diseminación inicial se hace mediante memoria USB infectadas, para luego aprovechar otros agujeros y contaminar otros equipos con WinCC conectados en red. Una vez lograda la entrada al sistema, Stuxnet emplea las contraseñas por defecto para obtener el control.[3] El fabricante, Siemens, aconseja no cambiar las contraseñas originales porque esto "podría tener impacto en el funcionamiento de la planta".[18]

La complejidad de Stuxnet es muy poco habitual en un ataque de malware. El ataque requiere conocimientos de procesos industriales y algún tipo de deseo de atacar infraestructuras industriales.[3] [1] En concreto, según la empresa Symantec, Stuxnet verifica la existencia en el objetivo de cierto número de motores variadores fabricados por dos empresas concretas, una iraní y otra finlandesa, estableciéndose rutinas distintas según la cantidad de variadores de uno y otro fabricante.[19]

El número de vulnerabildades de día cero de Windows que aprovecha Stuxnet también es poco habitual. Este tipo de errores de Windows son muy valorados por crackers y diseñadores de malware puesto que permiten acceder a sistemas incluso aunque hayan instalado todas las actualizaciones de seguridad, al no ser conocidos públicamente. Un ataque malware normal no desperdiciaría cuatro de estos errores en un solo gusano.[9]

Además, Stuxnet es extrañamente grande, ocupando medio megabyte,[20] y está escrito en distintos lenguajes de programación, incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo.[3] [1]

Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Tiene capacidad de actualización mediante P2P, lo que permite su puesta al día incluso después de que el servidor remoto de control haya sido desactivado.[20] [21]

Todas estas capacidades habrían requerido un equipo completo de programadores de distintas disciplinas, y la verificación en sistemas reales de que el malware no bloquearía los PLCs. Eric Byres, programador con años de experiencia en el mantenimiento y reparación de sistemas Siemens, declaró a Wired que escribir este software podría haber requerido meses o incluso años de trabajo si lo hubiera realizado una sola persona.[20]

Eliminación

Siemens ha puesto a disposición del público una herramienta de detección y eliminación de Stuxnet. Siemens recomienda contactar con su soporte técnico si se detecta una infección, instalar los parches de Microsoft que eliminan las vulnerabilidades de Windows y prohibir en las instalaciones industriales el uso de memorias USB ajenas o no controladas.[22]

También la empresa BitDefender ha desarrollado una herramienta gratuita para eliminar Stuxnet[1].

Especulaciones sobre el origen del ataque

Un portavoz de Siemens declaró que el gusano Stuxnet fue encontrado en 15 sistemas, cinco de los cuales eran plantas de fabricación en Alemania. Según Siemens, no se han encontrado infecciones activas y tampoco existen informes de daños causados por el gusano.[23]

Symantec afirma que la mayor parte de los equipos infectados están en Irán,[24] lo que ha dado pie a especulaciones de que el objetivo del ataque eran infraestructuras "de alto valor" en ese país,[9] incluyendo la Central Nuclear de Bushehr o el Complejo Nuclear de Natanz.[20]

Ralph Langner, un investigador alemán de seguridad informática, cree que Stuxnet es un arma diseñada "para disparar un solo tiro" y que el objetivo deseado por sus creadores fue probablemente alcanzado,[25] aunque ha admitido que esto son solo especulaciones.[20] Bruce Schneier, otro investigador en seguridad, ha calificado estas teorías como interesantes, si bien señala que existen pocos datos objetivos para fundamentarlas.[26]

Algunos especialistas (pendiente de encontrar referencias) señalaban a Israel como principal sospechoso, y en concreto a la Unidad 8200 de las Fuerzas de Defensa de Israel.

Finalmente el New York Times eliminó todo rumor o especulación confirmando que se trata de un troyano desarrollado y financiado por Israel y Estados Unidos con el fin de atacar las centrales nucleares iranies.

Anonymous se hace con el código de Stuxnet
Por Miguel Jorge el 15 de Febrero de 2011 en Internet.

Stuxnet, el gusano informático que tantos quebraderos de cabeza ha traído en Irán, ha sido anunciado por uno de los activista de Anonymous, asegurando que tienen el código. Como recordareis, Stuxnet fue diseñado para hackear el programa nuclear iraní, un virus informático capaz de sabotear aquellas plantas donde se realizaba el procesamiento de uranio en la centrar que se encuentra en Bushehr, Irán. Bajo el nick de Topiary, uno de los activistas de Anonymous, declaró en Twitter el siguiente mensaje: “Anonymous se encuentra en posesión de Stuxnet, ¿algún problema?”

Afirman haber conseguido el código fuente durante la serie de ataques dirigidos a la firma de seguridad HBGary que os comentábamos ayer. Al cabo de un rato, otra cuenta en Twitter del grupo publicó lo que parecía ser una parte de descompilado de Stuxnet. La pregunta ahora es: ¿qué pueden hacer con el gusano? ¿podrían llevar a cabo algún ataque con el virus?

La magnitud de Stuxnet, tal y como se ha estado estudiando desde su aparición, es compleja y muy peligrosa. El gusano se transmitió en sus inicios a través de un programa de la multinacional alemana Siemens en el mes de septiembre, pasando a los ordenadores que hacían funcionar las centrifugadoras de uranio en la central de Irán, y aunque actualmente se trabaja en sistemas operativos para evitar un posible ataque con el gusano, sigue siendo a día de hoy un arma demasiado sofisticada para lanzarla a la ligera. Aún hoy, no se sabe con exactitud el origen de Stuxnet, aunque se apunta una posible alianza entre Israel y Estados Unidos.

Aunque Anonymous se encuentre en posesión de Stuxnet, es difícil pensar que puedan llegar a realizar un ataque con él. Algunos expertos en seguridad se muestran escépticos ante el mensaje de Anonymous, declarando que aunque posean el binario y su desmontaje, no tienen la fuente original para desarrollarlo. Otros como Orla Cox, analista de seguridad de Symantec, decían al respecto para The Guardian que: “Podría ser posible, aunque se necesitaría mucho trabajo, ciertamente no es algo trivial”. Y es que se habla de un arma que podría desencadenar un “nuevo Chernobyl” como apuntaba el embajador de la OTAN ruso. En cualquier caso, Irán podría encontrarse en estos momentos como uno de los posibles objetivos después de que el grupo de activistas señalara la semana pasada su intención de atacar webs del gobierno en apoyo de las manifestaciones previstas en Teherán.

[Tienes que estar registrado y conectado para ver este vínculo]

J0SEFERNAND0 escribió:Creo Aquiles que este tema no ha tenido respuestas, por temor a las respuestas

J0SEFERNAND0 escribió:Esto es un tema viejo que Aquiles había abordado. Es propicio relanzarlo.

aquiles escribió:

J0SEFERNAND0 escribió:Esto es un tema viejo que Aquiles había abordado. Es propicio relanzarlo.

Bueno, por lo menos hoy vi que CONATEL homologo una serie de equipos para su entrada al pais. Ahor alo que ahy es que ver que cosa estaban homolgando, frecuencias, consumo, etc,etc.
Me parece que una norma como la gringa del FCC seria mejor que estar analizando equipos de forma individual, ahor mas con el Mercosur. Lo que me recuerda que la "homologacion" o normas deberia ser acordada por un organismo de Mercosur, asi como otro asutos tales como normas y señales de de transito, señalizacion de hospitales, sitios turisticos, Ambulancias etc, de tal forma de contar con un diseño comun en los miembres del Mercosur.