Stuxnet

Stuxnet
Tipus	cuc i Rootkit
Part de	Operation Olympic Games (en)

Stuxnet és un cuc informàtic que afecta a equips amb Windows, descobert al juny de 2010 per VirusBlokAda, una empresa de seguretat situada a Belarús. És el primer cuc conegut que espia i reprograma sistemes industrials, en concret sistemes SCADA de control i monitoratge de processos, podent afectar a infraestructures crítiques com a centrals nuclears.^[1]

Stuxnet és capaç de reprogramar controladors lògics programables i ocultar els canvis realitzats. També és el primer cuc conegut que inclou un rootkit per a sistemes reprogramables PLC.

La companyia europea de seguretat digital Kaspersky Lab descrivia a Stuxnet en una nota de premsa com "un prototip funcional i aterridor d'una arma cibernètica que conduirà a la creació d'una nova carrera armamentística mundial". Kevin Hogan, un executiu de Symantec, va advertir que el 60% dels ordinadors contaminats pel cuc es troben a l'Iran, suggerint que les seves instal·lacions industrials podrien ser el seu objectiu. Kaspersky conclou que els atacs només van poder produir-se "amb el suport d'una nació sobirana", convertint a l'Iran en el primer objectiu d'una guerra cibernètica real.^[2]^[3]

L'objectiu més probable del cuc, segons corroboren mitjans com a BBC o el Daily Telegraph, van poder ser infraestructures d'alt valor pertanyents a l'Iran i amb sistemes de control de Siemens. Mitjans com India Times apunten que l'atac va poder haver retardat l'engegada de la planta nuclear de Bushehr.^[4] Fonts iranianes han qualificat l'atac com a "guerra electrònica" encara que minimitzen l'impacte dels danys en les seves instal·lacions. Alguns mitjans com el nord-americà New York Times han atribuït la seva autoria als serveis secrets nord-americans i israelians.

Història[modifica]

A mitjans del juny de 2010 la companyia VirusBlokAda va informar de la seva existència, i s'han datat part dels seus components al juny de 2009. El cuc ha anat expandint-se per diferents països.^[5]

País	Nombre d'ordinadors infectats
Iran	62,867
Indonèsia	13,336
Índia	6,552
Estats Units d'Amèrica	2,913
Austràlia	2,436

Mètode d'operació[modifica]

Stuxnet ataca equips amb Windows emprant quatre vulnerabilitats de dia zero d'aquest sistema operatiu, inclosa la denominada CPLINK i una altra empleada pel cuc Conficker. El seu objectiu són sistemes que utilitzen els programes de monitoratge i control industrial (SCADA) WinCC/PCS 7 de Siemens.

La disseminació inicial es fa mitjançant memòria USB infectades, per després aprofitar altres forats i contaminar altres equips amb WinCC connectats en xarxa. Una vegada aconseguida l'entrada al sistema, Stuxnet empra les contrasenyes per defecte per obtenir el control. El fabricant, Siemens, aconsella no canviar les contrasenyes originals perquè això "podria tenir impacte en el funcionament de la planta.

La complexitat de Stuxnet és molt poc habitual en un atac de malware. L'atac requereix coneixements de processos industrials i algun tipus de desig d'atacar infraestructures industrials. En concret, segons l'empresa Symantec, Stuxnet verifica l'existència en l'objectiu de cert nombre de motors variadors fabricats per dues empreses concretes, una iraniana i una altra finlandesa, establint-se rutines diferents segons la quantitat de variadors d'un i un altre fabricant.

El nombre de vulnerabilitats de dia zero de Windows que aprofita Stuxnet també és poc habitual. Aquest tipus d'errors de Windows són molt valorats per crackers i dissenyadors de malware, ja que permeten accedir a sistemes fins i tot encara que hagin instal·lat totes les actualitzacions de seguretat, al no ser coneguts públicament. Un atac malware normal no malgastaria quatre d'aquests errors en un sol cuc.

A més, Stuxnet és estranyament gran, i està escrit en diferents llenguatges de programació, incloent C i C++, alguna cosa que es veu amb poca freqüència en altres atacs d'aquest tipus.

Stuxnet va ser signat digitalment amb dos certificats autèntics robats d'autoritats de certificació. Té capacitat d'actualització mitjançant P2P, la qual cosa permet la seva posada al dia fins i tot després que el servidor remot de control hagi estat desactivat.

Totes aquestes capacitats haurien requerit un equip complet de programadors de diferents disciplines, i la verificació en sistemes reals que el malware no bloquejaria els PLCs. Eric Byres, programador amb anys d'experiència en el manteniment i reparació de sistemes Siemens, va declarar a Wired que escriure aquest programari podria haver requerit mesos o fins i tot anys de treball si ho hagués realitzat una sola persona.

Eliminació[modifica]

Siemens ha posat a la disposició del públic una eina de detecció i eliminació de Stuxnet. Siemens recomana contactar amb el seu suport tècnic si es detecta una infecció, instal·lar els pegats de Microsoft que eliminen les vulnerabilitats de Windows i prohibir en les instal·lacions industrials l'ús de memòries USB alienes o no controlades. També l'empresa BitDefender ha desenvolupat una eina gratuïta per eliminar Stuxnet.

Especulacions sobre l'origen de l'atac[modifica]

Un portaveu de Siemens va declarar que el cuc Stuxnet va ser trobat en 15 sistemes, cinc dels quals eren plantes de fabricació a Alemanya. Segons Siemens, no s'han trobat infeccions actives i tampoc existeixen informes de danys causats pel cuc.

Symantec afirma que la major part dels equips infectats són a l'Iran, la qual cosa ha donat motiu a especulacions que l'objectiu de l'atac eren infraestructures "d'alt valor" en aquest país, inclosa la Central Nuclear de Bushehr o el Complex Nuclear de Natanz.

Ralph Langner, un investigador alemany de seguretat informàtica, creu que Stuxnet és una arma dissenyada "per disparar un sol tret" i que l'objectiu desitjat pels seus creadors va ser probablement aconseguit, encara que ha admès que això són sol especulacions.Bruce Schneier, un altre investigador en seguretat, ha qualificat aquestes teories com a interessants, si bé assenyala que existeixen poques dades objectives per fonamentar-les.

Alguns especialistes (pendent de trobar referències) assenyalaven a Israel com a principal sospitós, i en concret a la Unitat 8200 de les Forces de Defensa d'Israel. Finalment el New York Times va eliminar tot rumor o especulació confirmant que es va tractar d'un troià informàtic desenvolupat i finançat per Israel i els Estats Units amb la finalitat d'atacar les centrals nuclears iranianes.

Referències[modifica]

↑ Cymerman Benarroch, Henrique «Irán sufre el mayor ataque cibernético de su historia» (en castellà). La Vanguardia [Jerusalem], 28-09-2010 [Consulta: 17 juny 2017].
↑ «First Victims of the Stuxnet Worm Revealed, Kaspersky Lab Reports» (en anglès). kaspersky.com, 11 novembre 2014, 2014. [Consulta: 17 juny 2017].
↑ Falliere, Nicolas; O Murchu, Liam; Chien, Eric. «W32.Stuxnet Dossier» (PDF) (en anglès). symantec.com, febrer 2011. Arxivat de l'original el 21 de maig 2016. [Consulta: 17 juny 2017].
↑ «Cómo fue el ataque de Stuxnet» (en castellà). El Mundo, 23-11-2010 [Consulta: 17 juny 2017].
↑ Bruce Schneier. «The definitive analysis of Stuxnet» (PDF) (en anglès). langner.com, novembre 2013. [Consulta: 17 juny 2017].

Vegeu també[modifica]

A Wikimedia Commons hi ha contingut multimèdia relatiu a: Stuxnet

Guerra informàtica

[1] Cymerman Benarroch, Henrique «Irán sufre el mayor ataque cibernético de su historia» (en castellà). La Vanguardia [Jerusalem], 28-09-2010 [Consulta: 17 juny 2017].

[2] «First Victims of the Stuxnet Worm Revealed, Kaspersky Lab Reports» (en anglès). kaspersky.com, 11 novembre 2014, 2014. [Consulta: 17 juny 2017].

[3] Falliere, Nicolas; O Murchu, Liam; Chien, Eric. «W32.Stuxnet Dossier» (PDF) (en anglès). symantec.com, febrer 2011. Arxivat de l'original el 21 de maig 2016. [Consulta: 17 juny 2017].

[4] «Cómo fue el ataque de Stuxnet» (en castellà). El Mundo, 23-11-2010 [Consulta: 17 juny 2017].

[5] Bruce Schneier. «The definitive analysis of Stuxnet» (PDF) (en anglès). langner.com, novembre 2013. [Consulta: 17 juny 2017].

[1]

[2]

[3]

[4]

[5]