Que é Stuxnet?

Cando se trata de ciberseguridade, normalmente son as violacións de datos as que fan noticia. Estes incidentes afectan a moitas persoas e representan unha terrible noticia para a empresa no extremo receptor da violación de datos. Moito menos regularmente, escoitas falar dun novo exploit de día cero que moitas veces anuncia unha serie de violacións de datos de empresas que non poden protexerse. Non é moi frecuente que escoitas falar de incidentes cibernéticos que non afectan directamente aos usuarios. Stuxnet é unha desas raras excepcións.

Desparasitar o seu camiño

Stuxnet é o nome dunha cepa de malware. En concreto, é un verme. Un verme é un termo usado para referirse a calquera malware que pode propagarse automaticamente dun dispositivo infectado a outro. Isto permítelle propagarse rapidamente, xa que unha única infección pode producir unha infección a gran escala. Isto nin sequera foi o que fixo famoso a Stuxnet. Tampouco se estendeu, xa que non causou tantas infeccións. O que fixo destacar a Stuxnet foron os seus obxectivos e as súas técnicas.

Stuxnet atopouse por primeira vez nunha instalación de investigación nuclear en Irán. En concreto, as instalacións de Natanz. Destacan algunhas cousas sobre isto. En primeiro lugar, Natanz era unha instalación atómica que traballaba no enriquecemento do uranio. En segundo lugar, a instalación non estaba conectada a Internet. Este segundo punto dificulta infectar o sistema con software malicioso e normalmente coñécese como "brecha de aire". Un espazo de aire úsase xeralmente para sistemas susceptibles que non precisan activamente dunha conexión a Internet. Dificulta a instalación de actualizacións, pero tamén diminúe a ameaza que se enfronta.

Neste caso, Stuxnet puido "saltar" o espazo de aire mediante o uso de memorias USB. Descoñécese a historia precisa, con dúas opcións populares. A historia máis antiga era que as memorias USB caeron de xeito subrepticio no aparcadoiro da instalación e que un empregado demasiado curioso enchufáronos. Unha historia recente alega que un toupeiro holandés que traballaba na instalación conectou a memoria USB ou conseguiu que outra persoa o fixese. así. O malware da memoria USB incluía o primeiro dos catro exploits de día cero utilizados en Stuxnet. Este día cero lanzou automaticamente o malware cando a memoria USB estaba conectada a un ordenador con Windows.

Obxectivos de Stuxnet

O obxectivo principal de Stuxnet parece ser a instalación nuclear de Natanz. Outras instalacións tamén se viron afectadas, e Irán sufriu case o 60% de todas as infeccións no mundo. Natanz é emocionante porque unha das súas funcións principais como instalación nuclear é enriquecer uranio. Mentres que para as centrais nucleares é necesario uranio lixeiramente enriquecido, o uranio moi enriquecido é necesario para construír unha bomba nuclear a base de uranio. Aínda que Irán afirma que está a enriquecer uranio para o seu uso en centrais nucleares, houbo preocupación internacional pola cantidade de enriquecemento que está a suceder e que Irán podería estar intentando construír unha arma nuclear.

Para enriquecer o uranio, é necesario separar tres isótopos: U234, U235 e U238. U238 é, con diferenza, o máis abundante naturalmente, pero non é apto para o uso de enerxía nuclear ou armas nucleares. O método actual utiliza unha centrífuga onde o xiro fai que os diferentes isótopos se separen en peso. O proceso é lento por varias razóns e leva moito tempo. Criticamente, as centrífugas utilizadas son moi sensibles. As centrífugas de Natanz xiraban a 1064 Hz. Stuxnet fixo que as centrífugas xiran máis rápido e despois máis lento, ata 1410 Hz e baixando a 2 Hz. Isto causou estrés físico na centrífuga, o que provocou un fallo mecánico catastrófico.

Este fallo mecánico era o resultado previsto, co presunto obxectivo de frear ou deter o proceso de enriquecemento de uranio de Irán. Isto fai que Stuxnet sexa o primeiro exemplo coñecido dunha arma cibernética utilizada para degradar as habilidades dun estado-nación. Tamén foi o primeiro uso de calquera forma de malware que resultou na destrución física do hardware no mundo real.

O proceso real de Stuxnet - Infección

Stuxnet introduciuse nun ordenador mediante o uso dunha memoria USB. Utilizou un exploit de día cero para executarse por si mesmo ao conectarse a un ordenador Windows automaticamente. Utilizouse unha memoria USB como obxectivo principal. As instalacións nucleares de Natanz tiñan un espazo de aire e non estaban conectadas a Internet. A memoria USB foi "caída" preto da instalación e inserida por un empregado sen querer ou foi introducida por un toupeiro holandés na instalación; os detalles deste baséanse en informes non confirmados.

O malware infectou ordenadores con Windows cando se inseriu a memoria USB a través dunha vulnerabilidade de día cero. Esta vulnerabilidade dirixiuse ao proceso que renderizaba as iconas e permitía a execución remota de código. Criticamente, este paso non requiriu a interacción do usuario ademais de inserir a memoria USB. O malware incluía un rootkit que lle permitía infectar profundamente o sistema operativo e manipular todo, incluíndo ferramentas como antivirus, para ocultar a súa presenza. Puido instalarse usando un par de chaves de sinatura de controladores roubadas.

Consello: os rootkits son virus particularmente desagradables que son moi difíciles de detectar e eliminar. Póñense nunha posición na que poden modificar todo o sistema, incluído o software antivirus, para detectar a súa presenza.

Despois, o malware intentou estenderse a outros dispositivos conectados mediante protocolos de rede local. Algúns métodos fixeron uso de exploits previamente coñecidos. Non obstante, un usou unha vulnerabilidade de día cero no controlador de Windows Printer Sharing.

Curiosamente, o malware incluía unha comprobación para desactivar a infección doutros dispositivos unha vez que o dispositivo infectara tres dispositivos diferentes. Non obstante, eses dispositivos eran libres de infectar outros tres dispositivos cada un, e así por diante. Tamén incluíu unha comprobación que eliminaba automaticamente o malware o 24 de xuño de 2012.

O proceso real de Stuxnet - Explotación

Unha vez que se estendeu, Stuxnet comprobou se o dispositivo infectado podía controlar os seus obxectivos, as centrífugas. Os PLCs ou controladores lóxicos programables de Siemens S7 controlaban as centrífugas. Os PLC foron, á súa vez, programados polo software Siemens PCS 7, WinCC e STEP7 Industrial Control System (ICS). Para minimizar o risco de que o malware se atope onde non podería afectar ao seu obxectivo se non atopa ningunha das tres pezas de software instaladas, permanece latente, sen facer outra cousa.

Se se instala algunha aplicación ICS, infecta un ficheiro DLL. Isto permítelle controlar que datos envía o software ao PLC. Ao mesmo tempo, utilízase unha terceira vulnerabilidade de día cero, en forma de contrasinal de base de datos codificado en duro, para controlar a aplicación localmente. Combinado, isto permite que o malware axuste a programación do PLC e oculte o feito de que o fixo ao software ICS. Xera lecturas falsas que indican que todo está ben. Faino ao analizar a programación, ocultar o malware e informar da velocidade de xiro, ocultando o efecto real.

O ICS só infecta os PLC Siemens S7-300 e, aínda así, só se o PLC está conectado a unha unidade de frecuencia variable dun dos dous provedores. O PLC infectado só ataca sistemas onde a frecuencia da unidade está entre 807Hz e 1210Hz. Isto é moito máis rápido que as centrífugas tradicionais, pero típico das centrífugas de gas utilizadas para o enriquecemento de uranio. O PLC tamén obtén un rootkit independente para evitar que os dispositivos non infectados vexan as verdadeiras velocidades de rotación.

Resultado

Na instalación de Natanz, cumpríronse todos estes requisitos xa que as centrífugas están a 1064 Hz. Unha vez infectado, o PLC abarca a centrífuga ata 1410 Hz durante 15 minutos, despois caeu a 2 Hz e despois xira de novo ata 1064 Hz. Feito repetidamente durante un mes, isto provocou que fallesen preto de mil centrífugas nas instalacións de Natanz. Isto ocorreu porque os cambios na velocidade de rotación puxeron unha tensión mecánica sobre a centrífuga de aluminio polo que as pezas se expandían, entraban en contacto entre si e fallaban mecánicamente.

Aínda que hai informes de que preto de 1000 centrífugas foron eliminadas neste tempo, hai poucas ou ningunha evidencia do catastrófico que sería o fallo. A perda é mecánica, en parte inducida pola tensión e as vibracións resonantes. O fallo tamén está nun dispositivo enorme e pesado que xira moi rápido e probablemente foi dramático. Ademais, a centrífuga tería contido gas hexafluoruro de uranio, que é tóxico, corrosivo e radioactivo.

Os rexistros mostran que, aínda que o verme foi eficaz na súa tarefa, non foi 100% efectivo. O número de centrífugas funcionais que posuía Irán baixou de 4700 a preto de 3900. Ademais, todas foron substituídas con relativa rapidez. A instalación de Natanz enriqueceu máis uranio en 2010, ano da infección, que o ano anterior.

O verme tampouco era tan sutil como se esperaba. Os primeiros informes de fallos mecánicos aleatorios das centrífugas resultaron insospeitosos aínda que un precursor os causou a Stuxnet. Stuxnet era máis activo e foi identificado por unha empresa de seguridade chamada porque os ordenadores con Windows fallaban ocasionalmente. Este comportamento vese cando os exploits de memoria non funcionan como se pretende. Isto levou finalmente ao descubrimento de Stuxnet, non as centrífugas fallidas.

Atribución

A atribución de Stuxnet está envolta nunha negación plausible. Non obstante, asúmese amplamente que os culpables son tanto Estados Unidos como Israel. Ambos os dous países teñen fortes diferenzas políticas con Irán e se opoñen profundamente aos seus programas nucleares, temendo que estea tentando desenvolver unha arma nuclear.

A primeira pista para esta atribución vén da natureza de Stuxnet. Os expertos estiman que un equipo de 5 a 30 programadores levaría polo menos seis meses escribir. Ademais, Stuxnet utilizou catro vulnerabilidades de día cero, un número inédito dunha soa vez. O código en si era modular e fácil de expandir. Apuntouse a un sistema de control industrial e despois a outro non especialmente común.

Foi incriblemente dirixido específicamente para minimizar o risco de detección. Ademais, utilizou certificados de condutor roubados aos que tería sido moi difícil acceder. Estes factores apuntan a unha fonte extremadamente capaz, motivada e ben financiada, o que case con toda seguridade significa un APT de estado-nación.

Suxestións específicas para a implicación dos Estados Unidos inclúen o uso de vulnerabilidades de día cero atribuídas anteriormente ao grupo Equation, que se cre que forma parte da NSA. A participación israelí está lixeiramente menos ben atribuída, pero as diferenzas no estilo de codificación en diferentes módulos insinúan en gran medida a existencia de polo menos dúas partes colaboradoras. Ademais, hai polo menos dous números que, se se converten en datas, serían politicamente significativos para Israel. Israel tamén axustou o seu calendario estimado para unha arma nuclear iraniana pouco antes de que Stuxnet fose despregado, o que indica que eran conscientes dun impacto inminente no suposto programa.

Conclusión

Stuxnet era un verme autopropagado. Foi o primeiro uso dunha arma cibernética e a primeira instancia de malware que causou destrución no mundo real. Stuxnet despregouse principalmente contra a instalación nuclear iraniana de Natanz para degradar a súa capacidade de enriquecemento de uranio. Utilizou catro vulnerabilidades de día cero e era moi complexo. Todos os indicios apuntan a que está a ser desenvolvido por un APT de estado-nación, con sospeitas que recaen sobre EEUU e Israel.

Aínda que Stuxnet tivo éxito, non tivo un impacto significativo no proceso de enriquecemento de uranio de Irán. Tamén abriu a porta ao uso futuro de armas cibernéticas para causar danos físicos, mesmo en tempo de paz. Aínda que houbo moitos outros factores, tamén axudou a aumentar a conciencia política, pública e corporativa sobre a seguridade cibernética. Stuxnet implantouse no período 2009-2010