Esta mañana se comenzó a difundir la noticia sobre el malware Stuxnet, un gusano informático denunciado por primera vez en junio de 2010, por una empresa de seguridad con sede en Bielorrusia. Un gusano que en principio tiene como blancos los sistemas que no están vinculados a internet por razones de seguridad. El malware infecta a computadoras con el sistema operativo Windows a través de memorias USB que portan el código.
Según se ha informado, Stuxnet "utiliza diversas técnicas para esconderse en los USB y en las computadoras infectadas. Además, explota fallas de seguridad de Windows (conocidas como zero-day exploits, en inglés). Desde su aparición Microsoft ha parchado dos de las cuatro fallas que Stuxnet utiliza" (BBC). Entre las fallas zero-day están incluida la vulnerabilidad CPLINK y la vulnerabilidad utilizada por el gusano Conficker. Por ahí también se ha señalado que utiliza otros exploits para infectar a otros ordenadores WinCC en la red.
Aunque la información que se obtiene del malware es algo "confusa" aún, se ha señalado que está diseñado para "controlar" sistemas de control de procesos industriales, gestión de aeropuertos, sistemas de generación y distribución de energía, refinerías, se menciona entre otros el software SCADA de Siemens, etc.. Aunque por ahí se señala que "es el primer malware conocido que ataca y se infiltra en sistemas de Supervisión, Control y Adquisición de Datos (Supervisory Control And Data Acquisition - SCADA)", lo cierto es que ya hay antecedentes de otros malware afectando estos sistemas de control industrial.
En julio próximo pasado, Hispasec publicó una nota comentando que "el último ataque contra Windows (con enlaces directos) fue descubierto a través de un troyano que ha sido bautizado como Stuxnet. Una de sus características era que los drivers que usaba estaban firmados digitalmente por la famosa empresa china Realtek. Ahora, después de que hayan sido revocados, los atacantes han comenzado a utilizar los de otra empresa legítima: JMicron Technology Corporation".
Las especulaciones sobre como se ha logrado robar los certificados de ambas compañías son varias, lo que si queda claro es que la inteligencia detrás de la "generación" de Stuxnet, es realmente impresionante y tiene por estos momentos la atención mundial en materia de ciberseguridad.
Como ya se ha dicho, es Irán el aparente objetivo. "Kevin Hogan, director senior de respuesta a la seguridad en Symantec, dijo a Reuters que el 60 por ciento de las computadoras infectadas por el gusano Stuxnet estaban en Irán, lo que indica que las plantas industriales de ese país eran el objetivo" (Reuters vía Yahoo News).
No pocos se preguntan si ¿es Stuxnet un virus a punto de revolucionar la guerra moderna?. En Zerohedge, han escrito un interesante artículo al respecto. Entre las noticias que he leído se informa que Stuxnet ya ha afectado a 45.000 sistemas de control industrial de todo el mundo, aunque principalmente en Irán, Pakistán, India e Indonesia.
Post relacionados:
- Alertan sobre malware capaz de apagar fábricas.
- Atribuyen a un ciberataque el apagón en Brasil y Paraguay. 16-11-2009