El virus Stuxnet es más antiguo de lo que se creía

Investigadores descubrieron una versión "beta" del malware, cuyo código revela ataques alternativos y un parentesco seguro con Flame.

Investigadores de Symantec revelaron nueva información sobre el virus Stuxnet, un gusano que se hizo famoso por sabotear una planta de enriquecimiento de uranio en 2009, y que fue fabricado como arma de ciberguerra por Estados Unidos e Israel.

La version más antigua que se conoce es Stuxnet 0.5, que habría sido desarrollado en noviembre de 2005, casi dos años antes de lo que se pensaba, según Symantec. Esta primera versión, que comenzó a operar en 2007, contenía una estrategia de ataque alternativa que permitía cerrar de manera sigilosa las válvulas en la planta de enriquecimiento de uranio de Natanz. Las versiones posteriores eliminaron esa estrategia en favor de otra, que causaba que las centrífugas giraran de forma errática.

Para ejecutar este ataque, el virus inyectaba código malicioso en las instrucciones enviadas a 417 controladores lógicos programables (PLC) fabricados por Siemens, que eran utilizados por la planta para abrir y cerrar las válvulas que alimentaban de hexafluoruro de uranio a las centrífugas. Stuxnet 0.5 cerraba válvulas específicas antes de tiempo, haciendo que la presión subiera cinco veces más de lo normal, lo que provocaría la solidificación del hexafluoruro de uranio gaseoso y la destrucción de las centrífugas.

Para fabricar el virus, dice Symantec, los desarrolladores deben haber tenido un profundo conocimiento sobre cómo operaba la planta de Natanz. El malware venía con una instrucción de esperar entre 30 y 35 días antes de lanzar el ataque de las válvulas, que demoraría tres horas en completarse. La espera de un mes permitiría al virus recolectar información de mediciones en un día normal, las que serían reproducidas a los operadores mientras se ejecutaba el ataque, para que no fueran alertados sobre la irregularidad en las válvulas. El código también permitía bloquear la manipulación de las válvulas durante el ataque. Stuxnet 0.5 además estaba programado específicamente para afectar equipos con etiquetas de la planta de Natanz, posiblemente para evitar que otras plantas en el mundo se pudieran ver afectadas si el virus se esparcía por accidente.

El ataque de las válvulas, sin embargo, nunca se ha ejecutado (o no hay datos de que eso haya ocurrido). No está claro por qué este ataque fue retirado en versiones posteriores del virus.

Contagio

A diferencia de versiones posteriores, Stuxnet 0.5 sólo podía pasar de un computador a otro aprovechando una vulnerabilidad en el software Simatic Step7 de Siemens, usado para programar los controladores lógicos programables de la planta. Una vez que un computador estaba infectado, cualquier disco extraíble conectado al equipo que contuviera archivos Step7 sería infectado. Cuando esa unidad fuera conectada a otro PC, se contagiaría al abrir los archivos Step7 maliciosos.

Las versiones posteriores de Stuxnet aprovechaban cinco vulnerabilidades diferentes para auto replicarse, incluyendo algunas de día cero en Windows, con lo que las versiones 1.x terminaron con alrededor de 100.000 equipos infectados, donde la mayoría de ellos no tenía nada que ver con plantas de enriquecimiento de uranio.

Pariente de Flame

Symantec asegura también que los desarrolladores de la versión 0.5 son los mismos que crearon el virus Flame, un malware avanzado de espionaje. Aunque Kaspersky Lab ya había encontrado código compartido entre ambos virus en una versión más avanzada de Stuxnet, la versión 0.5 revelaría que el código compartido entre ambos malwares fue en algún momento tan amplio, que ambos proyectos estaban profundamente unidos.

"Con la versión 0.5 de Stuxnet podemos decir que los desarrolladores tenían acceso exactamente al mismo código. No eran sólo componentes compartidos. Estaban usando el mismo código exacto para construir los proyectos. Y entonces, en algún punto, el desarrollo (de Stuxnet y Flame) siguió dos direcciones diferentes", aseguró el gerente de operaciones de Symantec Security Response, Liam O'Murchu.

Los investigadores publicaron un paper con sus descubrimientos en PDF.

Link: Revealed: Stuxnet "beta's" devious alternate attack on Iran nuke program (ArsTechnica)

powered byDisqus