Reportan malware que ataca centrales de energía
Stuxnet parece ser el primer virus diseñado para atacar instalaciones de infraestructura crítica y sistemas Siemens, como estaciones de energía, plantas de agua y otras unidades industriales.
Ha infectado ya más de 100,000 sistemas de control industrial en Paquistán, Indonesia, India y quizás el 60% en Irán, por lo que se especula que el objetivo del ataque eran infraestructuras de alto valor en ese país, incluyendo las centrales nucleares de Bushehr o de Natanz.
Eric Byres, experto programador en mantenimiento y reparación de sistemas Siemens, declaró a las revista Wired que escribir este software podría haber requerido meses o incluso años de trabajo.
¿Qué es Stuxnet?
Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, y capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados.
Worm.Win32.Stuxnet fue descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad de Bielorrusia. Parte de sus componentes están fechadas en junio de 2009 y algunos otros elementos compilados el 3 de febrero de este año.
¿Cómo funciona?
Ataca equipos con Windows, empleando cuatro vulnerabilidades de día cero de esta plataforma. Su objetivo son sistemas que emplean los programas de control industrial (SCADA) WinCC/PCS 7 de Siemens.
La diseminación inicial se hace mediante unidades de memoria USB infectadas, para luego aprovechar otros agujeros y contaminar otras computadoras con WinCC conectados en red. Una vez penetrado el sistema, emplea las contraseñas por defecto para obtener el control, por lo cual Siemens aconseja no cambiar las contraseñas originales porque esto podría tener impacto en el funcionamiento de la planta.
Una vez dentro, el virus busca el software de control industrial desarrollado por Siemens (PLC o programmable logic controller), que suele encontrarse en tuberías, plantas nucleares, compañías de servicios y fábricas.
Se sabe que la producción de sistemas PLC constituye el principal sustento de Siemens, al que se le considera el principal fabricante de dichos sistemas.
En cuanto el gusano infecta a una de estas computadoras, reprograma el PCL para dar nuevas instrucciones a las máquinas industriales que controla, enciende y apaga monitores, supervisa la temperatura y prende los sistemas de enfriamiento si un indicador registra alta temperatura.
Firmado con certificado válido
Stuxnet es extrañamente grande, pues ocupa medio megabyte y está escrito en distintos lenguajes de programación, incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo.
Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Tiene capacidad de actualización mediante P2P, lo que permite su puesta al día incluso después de que el servidor remoto de control haya sido desactivado.
Todas estas capacidades habrían requerido un equipo completo de programadores de distintas disciplinas, y la verificación en sistemas reales de que el malware no bloquearía los PLCs.
El troyano bautizado como Stuxnet tiene como característica que los drivers que usaba como rootkit estaban firmados digitalmente por la empresa china Realtek; esto significa que solo Realtek podía ser responsable de ese código, excepto que su clave privada haya sido comprometida de alguna forma, lo cual no se ha confirmado.
Microsoft trabajó con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek también).
Ante este «contratiempo», los atacantes reaccionaron firmando su troyano de nuevo con un certificado válido pero ahora de la firma taiwanesa JMicron, dedicada también a crear controladores.
Según Pierre-Marc Bureau de ESET, la única relación entre esas dos compañías es que comparten oficinas en Taiwán. Esto abre las puertas a todo tipo de suposiciones: que un atacante se introducirse físicamente en el edificio y aprovechó algún error gracias a la ingeniería social, o que se ha realizado un ataque dirigido a ambas compañías, o simplemente han comprado los certificados robados a un tercero.
¿Sabotaje?
El código preocupa por su alta complejidad, pues utiliza muchas técnicas nuevas y desconocidas hasta ahora. Se trata de un proyecto muy grande, bien planeado y con un importante financiamiento. No es un hacker común, pues considerando los recursos, podría tratarse de un sabotaje de Estado.
Cabe recordar que pese a las resoluciones sancionadoras de la ONU, Irán prevé la construcción de 10 plantas nucleares, argumentando que son de enriquecimiento de uranio, mientras que gran parte de la comunidad internacional, encabezada por Estados Unidos, Israel, Francia, Alemania y Reino Unido acusan al régimen iraní de ocultar un programa clandestino de aplicaciones bélicas.
