Què és Stuxnet?

Pel que fa a la ciberseguretat, normalment són les infraccions de dades les que fan notícia. Aquests incidents afecten moltes persones i representen un dia de notícies terrible per a l'empresa a l'extrem receptor de la violació de dades. Molt menys regularment, escolteu parlar d'una nova explotació de dia zero que sovint anuncia una erupció de violacions de dades d'empreses que no es poden protegir. No és molt freqüent sentir parlar d'incidents cibernètics que no afecten directament els usuaris. Stuxnet és una d'aquestes rares excepcions.

Desparasitant al seu pas

Stuxnet és el nom d'una varietat de programari maliciós. Concretament, és un cuc. Un cuc és un terme que s'utilitza per referir-se a qualsevol programari maliciós que es pot propagar automàticament d'un dispositiu infectat a un altre. Això li permet propagar-se ràpidament, ja que una sola infecció pot provocar una infecció a una escala molt més gran. Això no va ser ni tan sols el que va fer famós Stuxnet. Tampoc es va estendre d'ample, ja que no va provocar tantes infeccions. El que va fer destacar Stuxnet van ser els seus objectius i les seves tècniques.

Stuxnet es va trobar per primera vegada en una instal·lació d'investigació nuclear a l'Iran. Concretament, les instal·lacions de Natanz. Algunes coses sobre això destaquen. En primer lloc, Natanz era una instal·lació atòmica que treballava per enriquir l'urani. En segon lloc, la instal·lació no estava connectada a Internet. Aquest segon punt fa que sigui difícil infectar el sistema amb programari maliciós i normalment es coneix com a "buit d'aire". Un buit d'aire s'utilitza generalment per a sistemes susceptibles que no necessiten activament una connexió a Internet. Fa que la instal·lació d'actualitzacions sigui més difícil, però també disminueix el panorama de les amenaces.

En aquest cas, Stuxnet va poder "saltar" l'espai d'aire mitjançant l'ús de memòries USB. Es desconeix la història precisa, amb dues opcions populars. La història més antiga era que els llapis USB es van deixar caure subrepticiament a l'aparcament de la instal·lació i que un empleat massa curiós el va connectar. Una història recent al·lega que un talp holandès que treballava a la instal·lació va connectar el llapis USB o va fer que algú altre ho fes. tan. El programari maliciós del llapis USB incloïa el primer dels quatre exploits de dia zero utilitzats a Stuxnet. Aquest dia zero va llançar automàticament el programari maliciós quan el llapis USB es va connectar a un ordinador Windows.

Objectius de Stuxnet

L'objectiu principal de Stuxnet sembla ser la instal·lació nuclear de Natanz. Altres instal·lacions també es van veure afectades, i l'Iran va veure gairebé el 60% de totes les infeccions a tot el món. Natanz és emocionant perquè una de les seves funcions bàsiques com a instal·lació nuclear és enriquir l'urani. Mentre que l'urani lleugerament enriquit és necessari per a les centrals nuclears, l'urani molt enriquit és necessari per construir una bomba nuclear a base d'urani. Tot i que l'Iran afirma que està enriquint urani per utilitzar-lo en centrals nuclears, hi ha hagut preocupació internacional per la quantitat d'enriquiment que s'està produint i que l'Iran podria estar intentant construir una arma nuclear.

Per enriquir l'urani, cal separar tres isòtops: U234, U235 i U238. L'U238 és, amb diferència, el més abundant de manera natural, però no és adequat per a l'ús d'energia nuclear o d'armes nuclears. El mètode actual utilitza una centrífuga on el filat fa que els diferents isòtops es separin per pes. El procés és lent per diversos motius i requereix molt de temps. De manera crítica, les centrífugues utilitzades són molt sensibles. Les centrífugues de Natanz van girar a 1064 Hz. Stuxnet va fer que les centrífugues giressin més ràpid i després més lenta, fins a 1410 Hz i fins a 2 Hz. Això va provocar estrès físic a la centrífuga, donant lloc a una fallada mecànica catastròfica.

Aquesta fallada mecànica era el resultat previst, amb el suposat objectiu d'alentir o aturar el procés d'enriquiment d'urani de l'Iran. Això fa que Stuxnet sigui el primer exemple conegut d'una arma cibernètica utilitzada per degradar les habilitats d'un estat-nació. També va ser el primer ús de qualsevol forma de programari maliciós que va provocar la destrucció física del maquinari al món real.

El procés real de Stuxnet: infecció

Stuxnet es va introduir en un ordinador mitjançant l'ús d'un llapis USB. Va utilitzar un exploit de dia zero per executar-se quan es connectava automàticament a un ordinador amb Windows. Es va utilitzar un llapis USB com a objectiu principal. La instal·lació nuclear de Natanz tenia un buit d'aire i no estava connectada a Internet. La memòria USB va ser "caiguda" a prop de la instal·lació i inserida per un empleat inconscient o va ser introduïda per un talp holandès a la instal·lació; els detalls d'això es basen en informes no confirmats.

El programari maliciós va infectar els ordinadors Windows quan es va inserir el llapis USB mitjançant una vulnerabilitat de dia zero. Aquesta vulnerabilitat es va dirigir al procés que representava icones i permetia l'execució de codi remota. De manera crítica, aquest pas no va requerir la interacció de l'usuari més enllà d'inserir el llapis USB. El programari maliciós incloïa un rootkit que li permetia infectar profundament el sistema operatiu i manipular-ho tot, incloses eines com l'antivirus, per ocultar la seva presència. Va poder instal·lar-se mitjançant un parell de claus de signatura de controladors robades.

Consell: els rootkits són virus especialment desagradables que són molt difícils de detectar i eliminar. Es posen en una posició on poden modificar tot el sistema, inclòs el programari antivirus, per detectar-ne la presència.

Aleshores, el programari maliciós va intentar estendre's a altres dispositius connectats mitjançant protocols de xarxa local. Alguns mètodes feien servir exploits coneguts anteriorment. Tanmateix, un va utilitzar una vulnerabilitat de dia zero al controlador de Windows Printer Sharing.

Curiosament, el programari maliciós incloïa una comprovació per desactivar la infecció d'altres dispositius un cop el dispositiu havia infectat tres dispositius diferents. Tanmateix, aquests dispositius eren lliures d'infectar altres tres dispositius cadascun, i així successivament. També incloïa una comprovació que eliminava automàticament el programari maliciós el 24 de juny de 2012.

El procés real de Stuxnet - Explotació

Un cop es va estendre, Stuxnet va comprovar si el dispositiu infectat podia controlar els seus objectius, les centrífugues. Els PLC Siemens S7 o els controladors lògics programables controlaven les centrífugues. Els PLC van ser, al seu torn, programats pel programari Siemens PCS 7, WinCC i STEP7 Industrial Control System (ICS). Per minimitzar el risc que es trobi el programari maliciós on no podria afectar el seu objectiu si no trobava cap de les tres peces de programari instal·lades, es troba latent, sense fer res més.

Si s'instal·la alguna aplicació ICS, infecta un fitxer DLL. Això li permet controlar quines dades envia el programari al PLC. Al mateix temps, s'utilitza una tercera vulnerabilitat de dia zero, en forma de contrasenya de base de dades codificada en dur, per controlar l'aplicació localment. En conjunt, això permet al programari maliciós ajustar la programació del PLC i ocultar el fet que ho ha fet al programari de l'ICS. Genera lectures falses que indiquen que tot està bé. Ho fa quan analitza la programació, amaga el programari maliciós i informa de la velocitat de gir, amagant l'efecte real.

Aleshores, l'ICS només infecta els PLC Siemens S7-300 i, fins i tot, només si el PLC està connectat a una unitat de freqüència variable d'un dels dos proveïdors. Aleshores, el PLC infectat només ataca sistemes on la freqüència de la unitat està entre 807 Hz i 1210 Hz. Això és molt més ràpid que les centrífugues tradicionals, però és típic de les centrífugues de gas utilitzades per a l'enriquiment d'urani. El PLC també obté un rootkit independent per evitar que els dispositius no infectats vegin les velocitats de rotació reals.

Resultat

A la instal·lació de Natanz, es van complir tots aquests requisits, ja que les centrífugues s'estenen a 1064 Hz. Un cop infectat, el PLC abasta la centrífuga fins a 1410 Hz durant 15 minuts, després va baixar a 2 Hz i, després, torna a girar fins a 1064 Hz. Fet repetidament durant un mes, això va provocar que al voltant d'un miler de centrífugues a les instal·lacions de Natanz fallessin. Això va passar perquè els canvis en la velocitat de rotació van posar una tensió mecànica a la centrífuga d'alumini de manera que les peces es van expandir, van entrar en contacte les unes amb les altres i van fallar mecànicament.

Tot i que hi ha informes d'unes 1.000 centrífugues que s'han eliminat durant aquest temps, hi ha poca o cap evidència de com de catastròfic seria la fallada. La pèrdua és mecànica, en part induïda per tensions i vibracions ressonants. La fallada també es produeix en un dispositiu enorme i pesat que gira molt ràpidament i probablement va ser dramàtic. A més, la centrífuga hauria contingut gas hexafluorur d'urani, que és tòxic, corrosiu i radioactiu.

Els registres mostren que, tot i que el cuc era efectiu en la seva tasca, no era 100% efectiu. El nombre de centrífugues funcionals que posseïa l'Iran va baixar de 4700 a unes 3900. A més, es van substituir totes amb relativa rapidesa. La instal·lació de Natanz va enriquir més urani el 2010, any de la infecció, que l'any anterior.

El cuc tampoc no era tan subtil com s'esperava. Es va trobar que els primers informes de fallades mecàniques aleatòries de les centrífugues no eren sospitosos tot i que un precursor els va provocar a Stuxnet. Stuxnet era més actiu i va ser identificat per una empresa de seguretat trucada perquè els ordinadors Windows es van estavellar ocasionalment. Aquest comportament es veu quan les explotacions de memòria no funcionen com es preveia. Això va conduir finalment al descobriment de Stuxnet, no de les centrífugues fallides.

Atribució

L'atribució de Stuxnet està envoltada d'una negació plausible. No obstant això, s'assumeix àmpliament que els culpables són tant els EUA com Israel. Tots dos països tenen fortes diferències polítiques amb l'Iran i s'oposen profundament als seus programes nuclears, per por que estigui intentant desenvolupar una arma nuclear.

El primer indici d'aquesta atribució prové de la naturalesa de Stuxnet. Els experts han estimat que un equip de 5 a 30 programadors hauria trigat almenys sis mesos a escriure. A més, Stuxnet va utilitzar quatre vulnerabilitats de dia zero, un nombre inèdit d'una vegada. El codi en si era modular i fàcil d'ampliar. Es va dirigir a un sistema de control industrial i després a un de poc comú.

Va ser increïblement dirigit específicament per minimitzar el risc de detecció. A més, va utilitzar certificats de conductor robats als quals haurien estat molt difícils d'accedir. Aquests factors apunten cap a una font extremadament capaç, motivada i ben finançada, el que gairebé segur significa un APT d'estat-nació.

Les pistes específiques per a la participació dels Estats Units inclouen l'ús de vulnerabilitats de dia zero atribuïdes anteriorment al grup Equation, que es creu que forma part de la NSA. La participació d'Israel està una mica menys ben atribuïda, però les diferències en l'estil de codificació en diferents mòduls insinuen en gran mesura l'existència d'almenys dues parts col·laboradores. A més, hi ha almenys dos números que, si es converteixen en dates, serien políticament significatius per a Israel. Israel també va ajustar el seu calendari estimat per a una arma nuclear iraniana poc abans de desplegar Stuxnet, indicant que eren conscients d'un impacte imminent en el suposat programa.

Conclusió

Stuxnet era un cuc que s'autopropagava. Va ser el primer ús d'una arma cibernètica i la primera instància de programari maliciós que va provocar la destrucció del món real. Stuxnet es va desplegar principalment contra la instal·lació nuclear iraniana de Natanz per degradar la seva capacitat d'enriquiment d'urani. Va fer ús de quatre vulnerabilitats de dia zero i era molt complex. Tots els indicis apunten que està desenvolupat per un APT d'estat-nació, amb sospites que recauen sobre els EUA i Israel.

Tot i que Stuxnet va tenir èxit, no va tenir un impacte significatiu en el procés d'enriquiment d'urani de l'Iran. També va obrir la porta a l'ús futur de les ciberarmes per causar danys físics, fins i tot en temps de pau. Tot i que hi havia molts altres factors, també va ajudar a augmentar la consciència política, pública i corporativa de la ciberseguretat. Stuxnet es va desplegar durant el període 2009-2010