Temas Calientes

El virus Stuxnet es más antiguo de lo que se creía

18

avatar_cony Cony Sturm hace 4 meses

(cc) Brother O'Mara

(cc) Brother O'Mara

Investigadores de Symantec revelaron nueva información sobre el virus Stuxnet, un gusano que se hizo famoso por sabotear una planta de enriquecimiento de uranio en 2009, y que fue fabricado como arma de ciberguerra por Estados Unidos e Israel.

La version más antigua que se conoce es Stuxnet 0.5, que habría sido desarrollado en noviembre de 2005, casi dos años antes de lo que se pensaba, según Symantec. Esta primera versión, que comenzó a operar en 2007, contenía una estrategia de ataque alternativa que permitía cerrar de manera sigilosa las válvulas en la planta de enriquecimiento de uranio de Natanz. Las versiones posteriores eliminaron esa estrategia en favor de otra, que causaba que las centrífugas giraran de forma errática.

Para ejecutar este ataque, el virus inyectaba código malicioso en las instrucciones enviadas a 417 controladores lógicos programables (PLC) fabricados por Siemens, que eran utilizados por la planta para abrir y cerrar las válvulas que alimentaban de hexafluoruro de uranio a las centrífugas. Stuxnet 0.5 cerraba válvulas específicas antes de tiempo, haciendo que la presión subiera cinco veces más de lo normal, lo que provocaría la solidificación del hexafluoruro de uranio gaseoso y la destrucción de las centrífugas.

Para fabricar el virus, dice Symantec, los desarrolladores deben haber tenido un profundo conocimiento sobre cómo operaba la planta de Natanz. El malware venía con una instrucción de esperar entre 30 y 35 días antes de lanzar el ataque de las válvulas, que demoraría tres horas en completarse. La espera de un mes permitiría al virus recolectar información de mediciones en un día normal, las que serían reproducidas a los operadores mientras se ejecutaba el ataque, para que no fueran alertados sobre la irregularidad en las válvulas. El código también permitía bloquear la manipulación de las válvulas durante el ataque. Stuxnet 0.5 además estaba programado específicamente para afectar equipos con etiquetas de la planta de Natanz, posiblemente para evitar que otras plantas en el mundo se pudieran ver afectadas si el virus se esparcía por accidente.

El ataque de las válvulas, sin embargo, nunca se ha ejecutado (o no hay datos de que eso haya ocurrido). No está claro por qué este ataque fue retirado en versiones posteriores del virus.

Contagio

A diferencia de versiones posteriores, Stuxnet 0.5 sólo podía pasar de un computador a otro aprovechando una vulnerabilidad en el software Simatic Step7 de Siemens, usado para programar los controladores lógicos programables de la planta. Una vez que un computador estaba infectado, cualquier disco extraíble conectado al equipo que contuviera archivos Step7 sería infectado. Cuando esa unidad fuera conectada a otro PC, se contagiaría al abrir los archivos Step7 maliciosos.

Las versiones posteriores de Stuxnet aprovechaban cinco vulnerabilidades diferentes para auto replicarse, incluyendo algunas de día cero en Windows, con lo que las versiones 1.x terminaron con alrededor de 100.000 equipos infectados, donde la mayoría de ellos no tenía nada que ver con plantas de enriquecimiento de uranio.

Pariente de Flame

Symantec asegura también que los desarrolladores de la versión 0.5 son los mismos que crearon el virus Flame, un malware avanzado de espionaje. Aunque Kaspersky Lab ya había encontrado código compartido entre ambos virus en una versión más avanzada de Stuxnet, la versión 0.5 revelaría que el código compartido entre ambos malwares fue en algún momento tan amplio, que ambos proyectos estaban profundamente unidos.

“Con la versión 0.5 de Stuxnet podemos decir que los desarrolladores tenían acceso exactamente al mismo código. No eran sólo componentes compartidos. Estaban usando el mismo código exacto para construir los proyectos. Y entonces, en algún punto, el desarrollo (de Stuxnet y Flame) siguió dos direcciones diferentes”, aseguró el gerente de operaciones de Symantec Security Response, Liam O’Murchu.

Los investigadores publicaron un paper con sus descubrimientos en PDF.

Link: Revealed: Stuxnet “beta’s” devious alternate attack on Iran nuke program (ArsTechnica)

Publicado el martes 26 de febrero de 2013, a las 18:30 horas (GMT -4).

18 Comentarios

El virus Stuxnet es más antiguo de lo que se creía

Thumb up 84 Thumb down 15 avatar_Searcher Searcher dijo hace 4 meses

Estados Unidos e Israel, el eje del mal de todos los problemas que tiene este planeta.

Responder
Thumb up 70 Thumb down 3 avatar_Nico Nico dijo hace 4 meses

Cony quisiera ser el virus StuxLove para entrar en tu corazón y activarlo =)

Responder
Thumb up 47 Thumb down 1 avatar_anon anon dijo hace 4 meses

Cony, cásate con él, por lo menos nos sacó una sonrisa :)

Thumb up 48 Thumb down 0 avatar_shock shock dijo hace 4 meses

mas que amor, le provocarías una arritmia cardiaca XD

Thumb up 3 Thumb down 5 avatar_sebastianko sebastianko dijo hace 4 meses

porque siento q este mes Cony desata más pasión x ser quién es q por los artículos q nos describe??

Thumb up 11 Thumb down 0 avatar_Django Django dijo hace 4 meses

@sebastianko
porque los gordos granudos ya no estan en la oficina, estan de vacaciones, entonces pueden pasarse rollos tranquilamente en su habitacion aoscuras.

Thumb up 20 Thumb down 0 avatar_Claudio Claudio dijo hace 4 meses

Natanz no es una planta de energía nuclear, es una planta de enriquecimiento de uranio.

Thumb up 52 Thumb down 0 avatar_nnn nnn dijo hace 4 meses

como crees que los fisicos lavan su ropa?

Thumb up 3 Thumb down 0 avatar_Mario Mario dijo hace 4 meses

LOL, googlea xD

Thumb up 2 Thumb down 0 avatar_Diego G. Diego G. dijo hace 4 meses

esta correcta la traducción, que problema tu le ves?

Thumb up 10 Thumb down 1 avatar_Martin Martin dijo hace 4 meses

Se esta observando solo una de las aristas del virus, que tiene relación con el desarrollo de este y las implicancias politicas que puede presentar. En mi caso, trabajo directamente con este tipo de equipos que son vulnerables, y desde el punto de vista de la automatización, por muy controlado que se encuentre, Stuxnet sigue siendo una gran amenaza para la industria, mas aun cuando en Chile tenemos grandes industrias mineras que trabajan exclusivamente (notese exclusivamente) con la tecnología Siemens, y podria asegurar que no muchos ingenieros del área sabrian como reaccionar ante una evolución del virus para afectar a otros tipos de procesos industriales.

Da para pensar que grandes empresas como Codelco, en sus divisiones Radomiro Tomic y Chuquicamata usan en muchos de sus procesos con tecnología Siemens.

Lo peor de todo, es que ningun fabricante está libre, porque la tecnología en automatización esta facilmente atrasada unos 10 años en sistemas de seguridad informatica, mas aún en Chile.

Saludos!

Responder
Thumb up 1 Thumb down 0 avatar_Nico Nico dijo hace 4 meses

Claro que tiene aspectos más amplios, basta ver que hace un tiempo atrás se tocó el tema en FW de la posibilidad de intervenir, por ejemplo, marcapasos y otro tipo de componente sensible del cual dependen sistemas vitales o de gran importancia industrial.

Responder

Deja tu Comentario

La opción de comentar está abierta a todos los usuarios, pero te pedimos por favor mantenerte dentro del tema del artículo y no publicar comentarios ofensivos o publicidad basura. Nos reservamos el derecho de eliminar cualquier comentario que no cumpla estas reglas.

Para que aparezca tu foto en vez del icono genérico en tu comentario, el email con el que comentas debe estar inscrito en Gravatar.

*