(Antes de nada sería recomendable que leyeses primero el primer post. Si no lo has hecho, click aquí)
Al cabo de pocos días, VirusBlokAda contactaba con Microsoft para explicarles la vulnerabilidad encontrada y casi un mes más tarde, y antes de que el gigante americano lanzase el parche para evitar el ataque, la pequeña compañía publicaba el hallazgo en un blog de seguridad informática. Las grandes empresas del sector se pusieron manos a la obra para intentar escudriñar el código del artefacto lógico. Es en este momento cuando Microsoft bautiza el virus como Stuxnet debido a la presencia de los archivos .stub y MrxNet.sys en el malware.
Los primeros análisis en profundidad arrojaron conclusiones todavía más sorprendentes que los realizados por Sergey y su gente. El creador de Stuxnet había realizado al menos tres versiones diferentes del virus, cada una de ellas más avanzada que la anterior y utilizando un total de ¡4! exploits de zero-day. Si utilizar uno es extremadamente raro, incluir cuatro en la misma pieza de malware es algo que nunca antes de había visto. Además, se pudo trazar su primera infección tan pronto como un año antes, y un año en informática es un mundo, nadie entendía cómo el bicho podría haber estado circulando desde hacía tanto tiempo sin haber sido detectado.
Pero todavía más sorprendente era el hecho de que varios de los componentes del virus estuviesen firmados digitalmente con certificados válidos reales robados a dos empresas de hardware de Taiwan, ubicadas ambas en el mismo parque tecnológico. Por supuesto los certificados fueron revocados en cuanto esto fue descubierto, pero cómo el creador fue capaz de robarlos es todavía un misterio de difícil resolución. ¿Alguien entrando en las instalaciones de RealTek Semiconductors para robar un fichero de datos? ¿Quién podría tomarse tantas molestias? ¿Quién tendría el poder para hacerlo?
Pero vamos al grano. ¿Qué hacía (qué hace, aún sigue por ahí) Stuxnet? Pues esto también resulta cuando menos sorprendente. Stuxnet no hace nada pernicioso en el ordenador en el que se instala... a no ser que el pc contenga un sistema SCADA. Traduciendo: el bicho escanea el sistema buscando software de control de procesos industriales programados por la empresa alemana Siemens. Esto es, por ejemplo, lo que puede usar una fábrica de envasado de cocacola para que todos sus robots actúen a la misma velocidad y no se desmadren. Una vez lo encuentra, se hace con su control.
La conclusión más lógica era que Stuxnet había sido creado por alguien con muchos recursos como un software de espionaje industrial. La cosa pareció calmarse un poco, pero no todo el mundo decidió dejarlo correr.
Continuará y terminará...
Al cabo de pocos días, VirusBlokAda contactaba con Microsoft para explicarles la vulnerabilidad encontrada y casi un mes más tarde, y antes de que el gigante americano lanzase el parche para evitar el ataque, la pequeña compañía publicaba el hallazgo en un blog de seguridad informática. Las grandes empresas del sector se pusieron manos a la obra para intentar escudriñar el código del artefacto lógico. Es en este momento cuando Microsoft bautiza el virus como Stuxnet debido a la presencia de los archivos .stub y MrxNet.sys en el malware.
Los primeros análisis en profundidad arrojaron conclusiones todavía más sorprendentes que los realizados por Sergey y su gente. El creador de Stuxnet había realizado al menos tres versiones diferentes del virus, cada una de ellas más avanzada que la anterior y utilizando un total de ¡4! exploits de zero-day. Si utilizar uno es extremadamente raro, incluir cuatro en la misma pieza de malware es algo que nunca antes de había visto. Además, se pudo trazar su primera infección tan pronto como un año antes, y un año en informática es un mundo, nadie entendía cómo el bicho podría haber estado circulando desde hacía tanto tiempo sin haber sido detectado.
 |
| Una buena representación de tres de los cuatro nuevos exploits hallados en Stuxnet |
Pero todavía más sorprendente era el hecho de que varios de los componentes del virus estuviesen firmados digitalmente con certificados válidos reales robados a dos empresas de hardware de Taiwan, ubicadas ambas en el mismo parque tecnológico. Por supuesto los certificados fueron revocados en cuanto esto fue descubierto, pero cómo el creador fue capaz de robarlos es todavía un misterio de difícil resolución. ¿Alguien entrando en las instalaciones de RealTek Semiconductors para robar un fichero de datos? ¿Quién podría tomarse tantas molestias? ¿Quién tendría el poder para hacerlo?
Pero vamos al grano. ¿Qué hacía (qué hace, aún sigue por ahí) Stuxnet? Pues esto también resulta cuando menos sorprendente. Stuxnet no hace nada pernicioso en el ordenador en el que se instala... a no ser que el pc contenga un sistema SCADA. Traduciendo: el bicho escanea el sistema buscando software de control de procesos industriales programados por la empresa alemana Siemens. Esto es, por ejemplo, lo que puede usar una fábrica de envasado de cocacola para que todos sus robots actúen a la misma velocidad y no se desmadren. Una vez lo encuentra, se hace con su control.
La conclusión más lógica era que Stuxnet había sido creado por alguien con muchos recursos como un software de espionaje industrial. La cosa pareció calmarse un poco, pero no todo el mundo decidió dejarlo correr.
Continuará y terminará...
2 comentarios:
Vaya.
Interesante esto del virusete de marras. ¿Es real? ¿ficción? ¿cosa innombrable a medio camino entre ambas?
En cualquier caso espero impaciente la resolución del artículo.
PD: sí, ya sé que como informático podría o a) saber ya lo que estás contando o b) investigarlo yo mismo para informarme. Pero la verdad es que prefiero leer tu final y luego, si tu no me respondes, investigar si fue verdad y, si así fue, leer lo que tu hayas decidido no contar para no alargar en demasía el texto.
UN SALUDETE!!!
Hey, qué alegría tener un comentario aquí en vez de en G+.
xD
Es real, aunque la conclusión será un poco especulativa me temo.
PD: Curioso que tu postdata sea más larga que el propio comentario. Yo nunca harías semejante cosa, por coherencia más que nada. Y esto es todo lo que tengo que decir al respecto. Fin.
Publicar un comentario