Este post es la tercera parte de mi monográfico sobre Stuxnet. Pincha para leer las partes uno y dos.
Investigando Stuxnet
En este punto de la historia, las grandes empresas de seguridad y antivirus se encontraban ya investigando Stuxnet. Una de ellas, Symantec, fue la que descubrió tres de los cuatro exploits de día zero existentes en el malware. Pero hizo bastante más.
Su análisis exhaustivo del código descubrió que cada vez que Stuxnet infectaba un nuevo sistema, intentaba ponerse en contacto con uno de dos dominios: www.mypremierfutbol.com y www.todaysfutbol.com sitos en Malasia y Dinamarca respectivamente, enviando información sobre las máquinas infectadas, principalmente si el equipo en cuestión tenía instalado el sistema Siemens de control de procesos industriales conocido "popularmente" como Step 7. La conexión permitía asimismo actualizar el virus con nuevo código si había una nueva versión disponible.
Symantec se puso en contacto con los proveedores de los dominios mencionados arriba y les convenció para que redirigieran el tráfico de Stuxnet a un servidor propio con el fin de contabilizar las infecciones que se iban sucediendo. En poco más de una semana confirmaron unos 38.000 pc's nuevos infectados y un curioso patrón en ellos.
El patrón
Normalmente, los virus que se expanden rápido por el mundo se centran en áreas donde Internet está muy establecido, con EEUU y Corea del Sur a la cabeza. Europa occidental o Japón suelen estar situados en puestos elevados, seguidos de algunos países de África y otros de Asia como India o Indonesia. Es de entender entonces que la sorpresa de los investigadores fuese mayúscula cuando un don nadie, un país que apenas aparece nunca en los ranking de infecciones, se llevase el 60% de los casos. Por supuesto estoy hablando de Irán.
Juntemos las piezas: El virus más complejo que jamás se había visto. Un objetivo claro: sistemas de control de procesos industriales SCADA utilizados en, por poner un ejemplo nada capcioso, centrifugadoras de centrales nucleares. Un sistema de propagación por red local y usb, probablemente diseñado para infectar redes de ordenadores sin acceso a internet y, finalmente, el epicentro de la infección se encuentra en Irán.
1 + 1 = ¿CIA?
Casi un año antes, en enero de 2010, los inspectores de la IAEA encargados de supervisar el proceso de producción atómica de Irán, reportaron al organismo internacional que las centrifugadoras de enriquecimiento de material radiactivo en Natanz, controladas por sistemas SCADA de Siemens, estaban siendo literalmente sustituidas por docenas. Algo parecía estar destrozando las costosas máquinas como si fuesen palillos de dientes y esto continuó ocurriendo durante todo el año.
La conclusión parece obvia. Alguien (¿CIA?) inoculó Stuxnet en ciertas zonas sensibles de Irán con la esperanza de que algún operario de las factorías atómicas del régimen de Mahmoud Ahmadinejad se llevase un lápiz USB con la última peli de Harry Potter para echarse la siesta e infectase la red local de la planta en el proceso.
El complejísimo malware hizo el resto, retrasando en meses, si no años, el programa atómico iraní.
Si queréis mucha más información (y muchísimo mejor escrita, en serio, es una gozada leerlo) podéis seguir el siguiente enlace. Otras webs que me han ayudado:
http://www.symantec.com/es/mx/business/theme.jsp?themeid=stuxnet
http://www.zdnet.com/blog/security/stuxnet-a-possible-attack-scenario/7420
Y por supuesto la Wikipedia.
Investigando Stuxnet
En este punto de la historia, las grandes empresas de seguridad y antivirus se encontraban ya investigando Stuxnet. Una de ellas, Symantec, fue la que descubrió tres de los cuatro exploits de día zero existentes en el malware. Pero hizo bastante más.
Su análisis exhaustivo del código descubrió que cada vez que Stuxnet infectaba un nuevo sistema, intentaba ponerse en contacto con uno de dos dominios: www.mypremierfutbol.com y www.todaysfutbol.com sitos en Malasia y Dinamarca respectivamente, enviando información sobre las máquinas infectadas, principalmente si el equipo en cuestión tenía instalado el sistema Siemens de control de procesos industriales conocido "popularmente" como Step 7. La conexión permitía asimismo actualizar el virus con nuevo código si había una nueva versión disponible.
Symantec se puso en contacto con los proveedores de los dominios mencionados arriba y les convenció para que redirigieran el tráfico de Stuxnet a un servidor propio con el fin de contabilizar las infecciones que se iban sucediendo. En poco más de una semana confirmaron unos 38.000 pc's nuevos infectados y un curioso patrón en ellos.
El patrón
Normalmente, los virus que se expanden rápido por el mundo se centran en áreas donde Internet está muy establecido, con EEUU y Corea del Sur a la cabeza. Europa occidental o Japón suelen estar situados en puestos elevados, seguidos de algunos países de África y otros de Asia como India o Indonesia. Es de entender entonces que la sorpresa de los investigadores fuese mayúscula cuando un don nadie, un país que apenas aparece nunca en los ranking de infecciones, se llevase el 60% de los casos. Por supuesto estoy hablando de Irán.
Juntemos las piezas: El virus más complejo que jamás se había visto. Un objetivo claro: sistemas de control de procesos industriales SCADA utilizados en, por poner un ejemplo nada capcioso, centrifugadoras de centrales nucleares. Un sistema de propagación por red local y usb, probablemente diseñado para infectar redes de ordenadores sin acceso a internet y, finalmente, el epicentro de la infección se encuentra en Irán.
1 + 1 = ¿CIA?
Casi un año antes, en enero de 2010, los inspectores de la IAEA encargados de supervisar el proceso de producción atómica de Irán, reportaron al organismo internacional que las centrifugadoras de enriquecimiento de material radiactivo en Natanz, controladas por sistemas SCADA de Siemens, estaban siendo literalmente sustituidas por docenas. Algo parecía estar destrozando las costosas máquinas como si fuesen palillos de dientes y esto continuó ocurriendo durante todo el año.
La conclusión parece obvia. Alguien (¿CIA?) inoculó Stuxnet en ciertas zonas sensibles de Irán con la esperanza de que algún operario de las factorías atómicas del régimen de Mahmoud Ahmadinejad se llevase un lápiz USB con la última peli de Harry Potter para echarse la siesta e infectase la red local de la planta en el proceso.
El complejísimo malware hizo el resto, retrasando en meses, si no años, el programa atómico iraní.
***
Si queréis mucha más información (y muchísimo mejor escrita, en serio, es una gozada leerlo) podéis seguir el siguiente enlace. Otras webs que me han ayudado:
http://www.symantec.com/es/mx/business/theme.jsp?themeid=stuxnet
http://www.zdnet.com/blog/security/stuxnet-a-possible-attack-scenario/7420
Y por supuesto la Wikipedia.
2 comentarios:
Me ha gustado mucho el artículo hermano, un saludo Carlos :) .
Me alegro mucho de que te haya gustado.
:)
Ya queda menos para verte el careto. Manda huevos que tenga ganas de hacerlo.
Publicar un comentario