El malware nuclear

Stuxnet es el ejemplo más visible hasta la fecha de guerra cibernética – donde un gobierno básicamente hackea los bienes de un país beligerante para conseguir un objetivo geopolítico. La misión era usar malware altamente sofisticado para interrumpir el programa de Irán de enriquecimiento de uranio. Este malware tuvo como blanco las computadoras que controlan las centrífugas industriales críticas para el proceso de enriquecimiento de uranio. Al alterar silenciosamente el código de control de las centrífugas el virus dañó los motores por lo tanto demoró la producción de material de armamento. 
Para lograr esta meta Stuxnet combinó una amplia gama de características y vulnerabilidades complejas nunca antes vistas en una pieza de malware. Explotó no menos que cuatro vulnerabilidades de día cero para propagarse en las computadoras de Microsoft y contenía 15 componentes separados, incluyendo código no Windows dirigido a las versiones y modelos exactos de los sistemas de control que se usan en las plantas nucleares de Irán. También utilizó un número de técnicas sofisticadas de cloaking para asegurarse de que el ataque no sería detectado por más de un año mientras se acercaba a su objetivo.
El ataque estaba compuesto de tres fases. La fase uno fue la infección y propagación inicial en las máquinas Windows; en la fase dos el malware debía buscar software de control industrial Windows que corriera en Windows y en la fase tres, era controlar el equipo para afectar el enriquecimiento de uranio.
Abrir Windows
Se cree que Stuxnet se introdujo a las redes de la planta nuclear iraniana desde una USB infectada que explotaba la vulnerabilidad LNK de Windows Explorer. Esta vulnerabilidad – explotada también por el gusano Confickr – habilita un código de autoreproducción cuando se inserta una USB. Por lo tanto, el código Stuxnet fue arrojado a la computadora anfitriona en un archivo encriptado gigante de 500KB – cuando la mayoría de los archivos malware tienen menos de 20KB.
El verdadero trabajo del gusano comenzó entonces. El primer paso fue diseminarse en la red desde un PC infectado aprovechando varias capacidades de explotación de día cero tales como: Una vulnerabilidad de cola de impresión en equipos con Windows que permitió al gusano infiltrar máquinas que compartían una misma impresora; atacar vulnerabilidades en un archivo de teclado Windows y explotar un archivo de horario de tareas para darle a los atacantes privilegios de administrador y control total de una máquina.
Stuxnet no se diseminó por email o por la Web inusualmente sino solamente en LANs o al infectar USBs conectadas a una máquina infectada. Mientras se diseminaba utilizó varios mecanismos para evitar ser detectado por software antivirus. Los discos de sus dispositivos fueron firmados digitalmente con un certificado genuino robado de una empresa taiwanesa. También evadió heurísticos AV utilizando una técnica sofisticada para funcionar alrededor de la dependencia en análisis heurístico de la actividad de LoadLibrary.
La Stuxnet DLL (Biblioteca de Links Dinámicos) fue guardada en la memoria como un archivo virtual con un nombre de archivo específico en lugar de en el disco duro. Por lo tanto si un programa trataba de cargar la DLL, Stuxnet enlazaba la solicitud y la dirigía a la memoria, haciendo efectivamente LoadLibrary ‘mirar a otro lado’ – derrotando la detección heurística.
Obstaculizando el control
Una vez en la LAN Stuxnet comenzó a buscar software de control industrial Windows específicamente. Incorporado en su código estaban detalles de la configuración técnica exacta, versión del software y modelo asignado del software de control y del hardware buscados. En caso de que el gusano no pudiese encontrar el software de control Step7 de Siemens en la red infectada iría a hibernación hasta que pudiera accesar otra red mediante una conexión LAN nueva o por USB stick.
Sin embargo si Stuxnet encontraba el software Step7 en una computadora proporcionaría su carga de pago final. Decodificó y cargó un archivo DLL malicioso que podía interceptar comandos entre el software Step7 y el controlador industrial para los motores centrífugos y reemplazarlos con comandos diseñados para averiar los motores. También colocó un rootkit en el controlador astutamente para interceptar los reportes de estatus y disfrazar los cambios en la velocidad del motor de los sistemas de monitoreo – dándole a los operadores de planta la impresión de que todo operaba normalmente.
¿Stuxnet fue exitoso? Ciertamente funcionó como diseñado y averió una gran cantidad de motores centrífugos demorando el programa nuclear de Irán. También demostró cuan efectivo – y obstaculizador – puede ser un gusano como arma, creando preguntas serias sobre la vulnerabilidad de instalaciones nucleares, eléctricas y de cualquier tipo industrial.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *