Stuxnet: Los orígenes

La historia del gusano Stuxnet encabezó cientos de titulares el año pasado e hizo temblar a los responsables de seguridad de la industria informática. Quien fue su creador y por qué

La historia del gusano Stuxnet encabezó cientos de titulares el año pasado e hizo temblar a los responsables de seguridad de la industria informática. Quien fue su creador y por qué lo hizo son misterios aún no develados. Sin embargo, rumores dicen que la inteligencia norteamericana e israelí lo usaron para sabotear el programa nuclear de Irán, versión al parecer bastante factible en tanto y cuanto dicho malware inhabilitó a las centrifugadoras de enriquecimiento de uranio, retrasando el desarrollo del mencionado programa.

Stuxnet-First-Victims-of-the-First-CyberweaponLos creadores de Stuxnet -que inicialmente fue concebido para perjudicar sistemas industriales- lograron vulnerar computadoras personales y de empresas y llevar a cabo un ataque a gran escala. El gusano perdió el control y empezó a auto diseminarse activamente y afectó a las máquinas, sin, aparentemente, causar daño alguno.

Primeras víctimas, o ‘víctimas cero’

Kim Zetter, una periodista norteamericana, publicó un libro titulado Countdown to Zero Day (Cuenta regresiva para el día cero) el 11 de noviembre. En Kaspersky Lab tomamos de allí algunos datos de interés poco conocidos sobre Stuxnet. No vamos a insistir demasiado en los inicios de este malware, pero sí en las iteraciones (o repeticiones) en las que comprometió sistemas en 2009 y 2010.

Fue fácil reproducir el evento que dio a lugar Stuxnet gracias a uno de sus atributos más importantes: mantener en su cuerpo un historial de las computadoras vulneradas, incluyendo nombre, dominio y dirección IP. Dado que se trata de datos en constante actualización, pudimos hacer seguimiento desde el principio.

Symantec, que había publicado nuevamente “W32.Stuxnet Dossier ” en febrero de 2011, determinó que la diseminación empezó en cinco empresas (dos de ellas atacadas dos veces: una en 2009 y otra en 2010), hasta entonces desconocidas. Con el objetivo de identificarlas, trabajamos durante dos años analizando 2.000 archivos.

Dominio A

La primera iteración notable de Stuxnet 2009 (denominado Stuxnet A) fue creada el 22 de junio de 2009. Luego de varias horas de compilación, el malware infectó a una PC en un dominio “ISIE”. Fue poco probable que los cibercriminales usaran un dispositivo de almacenamiento desmontable debido a la también poca probabilidad de que pudiera ser distribuido en las instalaciones industriales en un periodo de tiempo tan corto.

Fue fácil reproducir el evento que dio a lugar Stuxnet gracias a uno de sus atributos más importantes: mantener un historial de las computadoras vulneradas en su cuerpo, incluyendo su nombre, dominio y dirección IP

No identificamos oficialmente a la empresa vulnerada con datos tan escasos. Sin embargo, sí pudimos deducir que se trababa de Foolad Technic Engineering Co (FIECO), una productora de sistemas de automación para compañías industriales basada en Irán.

Dada su capacidad de afectar los rotores de centrifugación y su módulo de spyware, FIECO era el blanco ideal para Stuxnet. Es bastante posible que hayan elegido a dicha compañía por ser una especie de atajo para llegar al target final y, además, un recopilador de datos de la industria nuclear iraní – en el 2010 la computadora fue nuevamente atacada por la tercera repetición de Stuxnet.

Dominio B

El próximo “paciente”  fue atacado en tres oportunidades: en junio de 2009, así como en marzo y mayo de 2010. El de marzo fue el disparador de la llamada epidemia global de Stuxnet 2010. El dominio ” behpajooh ” permitió identificar inmediatamente a la víctima. Se trataba de la compañía Behpajooh Co., involucrada también en la automatización de la industria y poseedora de vínculos con varias compañías de importancia del sector.

great_stuxnet_09En 2006, un diario de Dubai publicó un artículo que reveló la existencia de una entidad local involucrada en el tráfico ilegal de componentes nucleares con Irán. El receptor de las entregas figuraba con el nombre de “Bejpajooh INC”, con sede en Isfahán.

El 24 de abril de 2010, Stuxnet viajó desde el dominio de Behpajhoo hacia Mobarakeh Steel Company, una industria metalurgica iraní de gran envergadura vinculada con muchas otras del sector. Gracias a este tipo de conexiones, Stuxnet fue capaz de iniciar una epidemia global, logrando en el verano de 2010 infiltrarse en corporaciones de Rusia y Bielorrusia.

Dominios C, D y E

El 7 de julio de 2009, Stuxnet infectó la PC ” applserver ” de la compañía NEDA. En este caso, no hubo problema para identificar la víctima. En 2008, NEDA había sido acusada por la exportación ilegal de sustancias prohibidas hacia Irán.

Junto con NEDA, la empresa Control Gostar Jahed (CGJ) también fue infectada. Ella, al igual que las demás, estaba basada en Irán y se dedicaba a la automatización de procesos industriales. Aquí es donde la distribución del malware se detuvo, a pesar de su amplio porfolio de gran alcance.

El último “paciente cero” fue responsable de vulnerar a un gran número de computadoras. Ocurrió en Mayo de 2010; Stuxnet logró infiltrarse en tres computadoras de Kalaye Electric Company, considerada la mayor empresa productora de centrifugadoras de enriquecimiento de uranio IR-1 y una de las industrias pilares del programa de explotación de uranio iraní. A esta altura lo curioso es que dicha industria no hubiera sido atacada anteriormente.

Epílogo

Para ser un vector malicioso tan sofisticado (no es nada sencillo inutilizar una máquina centrifugadora de enriquecimiento de uranio), Stuxnet fue distribuido de una forma un tanto primitiva. De hecho, hubo un momento el que prácticamente perdió el control; de lo contrario hubiese sido problemático tratar de explicar la magnitud de la epidemia que condujo este gusano, más allá de sus objetivos originales.

A pesar de todos los inconvenientes, el malware se las arregló muy bien para ser eficiente. Tanto así que se sus creadores lograron convertirlo en la ciber-subversión más importante del planeta, inaugurando una nueva era en el mundo de las armas cibernéticas.

Antes de #Stuxnet, nadie pensaba en la ciberseguridad de los sistemas industriales.

Antes de que Stuxnet apareciera, a nadie se le ocurría emplear una seguridad proactiva en las industrias. Se presumía que el aislamiento de las redes industriales era una medida suficiente para preservar la seguridad empresarial. A través del ataque a máquinas desconectadas, los creadores de este gusano inauguraron una nueva era en universo de la seguridad informática. El nivel de relevancia de Stuxnet puede compararse sólo con el Morris Worm, creado en 1988.

 Traducido por Maximiliano De Benedetto y Guillermo Vidal

 

Consejos