CIBERGUERRA

Caso: IRÁN – Ataque a plantas nucleares

Por: Tomás Gálvez / Departamento Forense SISAP

stuxnet

Stuxnet es un malware que viene haciendo noticias desde hace casi diez años. Se ha reportado que Stuxnet arruinó un quinto de las centrífugas nucleares de Irán en 2009, supuestamente como parte de un movimiento por Estados Unidos e Israel contra Irán. En el ámbito técnico informático Stuxnet se acredita varias estrategias, cuando menos, inusuales; cuando no, sin precedentes.

La planta nuclear Natanz, en Irán, fue la víctima que engendró el escándalo. Se ha hipotetizado que Stuxnet alcanzó sus sistemas mediante un dispositivo infectado de almacenamiento USB. Algunas fuentes argumentan que Stuxnet infectó los sistemas de Natanz por medio de sus proveedores de componentes, a quienes infectó primero. Adentro, Stuxnet realizó su ataque en tres capas:

-          Infección de sistemas Windows: un ataque de día cero infecta sus primeros sistemas a costa de revelar vulnerabilidades hasta entonces desconocidas. Stuxnet explotó cuatro. Una de estas vulnerabilidades, LNK/PIF, permite ejecución de código con tan sólo desplegar un ícono en el explorador de Windows. Stuxnet instaló software identificado con certificados (supuestamente robados) de las empresas JMicron y Realtek haciéndolo, en efecto, un rootkit.

-          Infección de aplicaciones Step7: Siemens provee las aplicaciones Step7 para control de sus dispositivos que automatizan el enriquecimiento de uranio. Stuxnet buscó software Step7, y al encontrarlo se posicionó como intermediario de la comunicación que Step7 realiza con los dispositivos (llamados “controladores lógicos programables”, o PLCs).

-          Infección de dispositivos PLC: controlando PLCs Stuxnet consigue alterar las velocidades de rotación de centrífugas de enriquecimiento de uranio con frecuencias entre 807 y 1210 Hz, específicamente de marcas Vacon o Fararo Paya, conectados a sistemas Siemens S7-300. Para no ser detectado, Stuxnet instala otro rootkit en estos dispositivos, convirtiéndose en el primer caso registrado de un rootkit para PLCs.

Surgen preguntas relacionadas con el costo que ha tenido el desarrollo de Stuxnet; el conocimiento requerido para hacerlo; y las influencias que se han movido para ello. Cualquier respuesta razonable a estas preguntas involucra mucho dinero y mucho tiempo.

Nunca se puede estar suficientemente seguro. La concientización vuelve a tener el papel más importante en la protección de la información, considerando que Stuxnet pudo haber entrado a Natanz en una memoria USB. Los antivirus no pueden ser la primera ni la única línea de defensa, pero son necesarios. Las infecciones no se hacen exclusivamente al ejecutar un archivo malicioso. Debemos estar alerta y evitar en lo posible el ingreso de datos a nuestros sistemas si no hemos antes verificado su origen.

¿Y cómo sabemos todo esto? Stuxnet infectó la computadora de un ingeniero en Natanz que luego fue conectada al internet, exponiéndolo al mundo. Aunque esto no debería resultar preocupante si no usamos Step7, puede resultar preocupante la existencia de malware relacionado con Stuxnet como “Flame” y “Duqu”. El sentido común debe alertarnos sobre amenazas a nuestra información que usen técnicas similares. Patrones de comportamiento han sugerido a Kaspersky® que la autoría de todo este software se unifica en un grupo, nombrado por ellos como “Equation”. Si Kaspersky no se equivoca, se trata de un grupo cuya sombra opaca a Anonymous sin esfuerzo y este titán ha perdido el control de sus creaciones.

Stuxnet

 

Fuentes:

http://www.businessinsider.com/stuxnet-was-far-more-dangerous-than-previous-thought-2013-11

http://arstechnica.com/tech-policy/2012/06/confirmed-us-israel-created-stuxnet-lost-control-of-it/

http://www.haaretz.com/computer-virus-in-iran-actually-targeted-larger-nuclear-facility-1.316052

https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

https://www.engadget.com/2014/11/13/stuxnet-worm-targeted-companies-first/

http://www.bbc.com/news/technology-11388018

https://technet.microsoft.com/en-us/library/security/ms10-046.aspx

http://go.eset.com/us/resources/white-papers/Stuxnet_Under_the_Microscope.pdf

http://w3.siemens.com/mcms/simatic-controller-software/en/step7/pages/default.aspx

http://spectrum.ieee.org/podcast/telecom/security/how-stuxnet-is-rewriting-the-cyberterrorism-playbook

http://www.symantec.com/connect/blogs/stuxnet-breakthrough

http://www.symantec.com/connect/blogs/stuxnet-introduces-first-known-rootkit-scada-devices

http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=1

http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?_r=1&ref=general&src=me&pagewanted=all

http://www.bbc.com/news/technology-18238326

http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf

https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf

https://www.rt.com/usa/stuxnet-chevron-cyber-virus-348/

No hay comentarios

Agregar comentario