¿Qué es Stuxnet?

Cuando se trata de seguridad cibernética, normalmente las violaciones de datos son las noticias. Estos incidentes afectan a muchas personas y representan un terrible día de noticias para la empresa receptora de la filtración de datos. Con mucha menos frecuencia, se entera de un nuevo exploit de día cero que a menudo anuncia una serie de filtraciones de datos de empresas que no pueden protegerse a sí mismas. No es muy frecuente escuchar acerca de incidentes cibernéticos que no afectan directamente a los usuarios. Stuxnet es una de esas raras excepciones.

Gusano su camino en

Stuxnet es el nombre de una cepa de malware. En concreto, es un gusano. Un gusano es un término utilizado para referirse a cualquier malware que pueda propagarse automáticamente de un dispositivo infectado a otro. Esto permite que se propague rápidamente, ya que una sola infección puede resultar en una infección a una escala mucho mayor. Esto ni siquiera fue lo que hizo famoso a Stuxnet. Tampoco fue cuán amplio se propagó, ya que no causó tantas infecciones. Lo que hizo sobresalir a Stuxnet fueron sus objetivos y sus técnicas.

Stuxnet se encontró por primera vez en una instalación de investigación nuclear en Irán. En concreto, la instalación de Natanz. Algunas cosas sobre esto se destacan. En primer lugar, Natanz era una instalación atómica que trabajaba en el enriquecimiento de uranio. En segundo lugar, la instalación no estaba conectada a Internet. Este segundo punto dificulta la infección del sistema con malware y normalmente se conoce como “brecha de aire”. Un espacio de aire generalmente se usa para sistemas susceptibles que no necesitan activamente una conexión a Internet. Hace que la instalación de actualizaciones sea más difícil, pero también disminuye el panorama de amenazas que enfrenta.

En este caso, Stuxnet pudo “saltar” el espacio de aire mediante el uso de memorias USB. Se desconoce la historia precisa, con dos opciones populares. La historia anterior era que las memorias USB se dejaron caer subrepticiamente en el estacionamiento de las instalaciones y que un empleado demasiado curioso las enchufó. Una historia reciente alega que un topo holandés que trabajaba en las instalaciones conectó la memoria USB o consiguió que alguien más lo hiciera. entonces. El malware en la memoria USB incluía el primero de cuatro exploits de día cero utilizados en Stuxnet. Este día cero lanzó automáticamente el malware cuando la memoria USB se conectó a una computadora con Windows.

Objetivos de Stuxnet

El objetivo principal de Stuxnet parece ser la instalación nuclear de Natanz. Otras instalaciones también se vieron afectadas, con Irán registrando casi el 60% de todas las infecciones en todo el mundo. Natanz es emocionante porque una de sus funciones principales como instalación nuclear es enriquecer uranio. Si bien se necesita uranio ligeramente enriquecido para las plantas de energía nuclear, se necesita uranio altamente enriquecido para construir una bomba nuclear basada en uranio. Si bien Irán afirma que está enriqueciendo uranio para su uso en plantas de energía nuclear, ha habido preocupación internacional por la cantidad de enriquecimiento que está ocurriendo y que Irán podría estar intentando construir un arma nuclear.

Para enriquecer uranio es necesario separar tres isótopos: U234, U235 y U238. El U238 es, con mucho, el más abundante de forma natural, pero no es adecuado para el uso de energía nuclear o armas nucleares. El método actual utiliza una centrífuga donde el giro hace que los diferentes isótopos se separen por peso. El proceso es lento por varias razones y lleva mucho tiempo. Críticamente, las centrífugas utilizadas son muy sensibles. Las centrífugas de Natanz giraban a 1064 Hz. Stuxnet hizo que las centrífugas giraran más rápido y luego más lento, hasta 1410 Hz y hasta 2 Hz. Esto causó estrés físico en la centrífuga, lo que resultó en una falla mecánica catastrófica.

Esta falla mecánica fue el resultado previsto, con el supuesto objetivo de ralentizar o detener el proceso de enriquecimiento de uranio de Irán. Esto convierte a Stuxnet en el primer ejemplo conocido de un arma cibernética utilizada para degradar las capacidades de un estado-nación. También fue el primer uso de cualquier forma de malware que resultó en la destrucción física del hardware en el mundo real.

El proceso real de Stuxnet: infección

Stuxnet se introdujo en una computadora mediante el uso de una memoria USB. Usó un exploit de día cero para ejecutarse automáticamente cuando se conectaba a una computadora con Windows. Se utilizó una memoria USB como objetivo principal. La instalación nuclear de Natanz estaba aislada y no estaba conectada a Internet. La memoria USB se “cayó” cerca de las instalaciones y un empleado involuntario la insertó o fue introducida por un topo holandés en las instalaciones; los detalles de esto se basan en informes no confirmados.

El malware infectó las computadoras con Windows cuando se insertó la memoria USB a través de una vulnerabilidad de día cero. Esta vulnerabilidad se centró en el proceso que representaba iconos y permitía la ejecución remota de código. Fundamentalmente, este paso no requirió la interacción del usuario más allá de insertar la memoria USB. El malware incluía un rootkit que le permitía infectar profundamente el sistema operativo y manipularlo todo, incluidas herramientas como antivirus, para ocultar su presencia. Pudo instalarse solo usando un par de claves de firma de controladores robadas.

Sugerencia: los rootkits son virus particularmente desagradables que son muy difíciles de detectar y eliminar. Se colocan en una posición en la que pueden modificar todo el sistema, incluido el software antivirus, para detectar su presencia.

Luego, el malware intentó propagarse a otros dispositivos conectados a través de protocolos de red locales. Algunos métodos hicieron uso de exploits previamente conocidos. Sin embargo, uno usó una vulnerabilidad de día cero en el controlador de uso compartido de impresoras de Windows.

Curiosamente, el malware incluía una verificación para deshabilitar la infección de otros dispositivos una vez que el dispositivo había infectado tres dispositivos diferentes. Sin embargo, esos dispositivos eran libres de infectar otros tres dispositivos cada uno, y así sucesivamente. También incluyó una verificación que eliminó automáticamente el malware el 24 de junio de 2012.

El Proceso Real de Stuxnet – Explotación

Una vez que se propagó, Stuxnet verificó si el dispositivo infectado podía controlar sus objetivos, las centrífugas. Los PLC Siemens S7 o controladores lógicos programables controlaban las centrífugas. Los PLC fueron, a su vez, programados por el software Siemens PCS 7, WinCC y STEP7 Industrial Control System (ICS). Para minimizar el riesgo de que el malware se encuentre donde no podría afectar a su objetivo si no pudiera encontrar ninguna de las tres piezas de software instaladas, permanece inactivo, sin hacer nada más.

Si se instala alguna aplicación ICS, infecta un archivo DLL. Esto le permite controlar qué datos envía el software al PLC. Al mismo tiempo, se utiliza una tercera vulnerabilidad de día cero, en forma de una contraseña de base de datos codificada, para controlar la aplicación localmente. Combinado, esto permite que el malware ajuste la programación del PLC y oculte el hecho de que lo ha hecho del software ICS. Genera lecturas falsas indicando que todo está bien. Hace esto cuando analiza la programación, oculta el malware e informa la velocidad de giro, ocultando el efecto real.

Entonces, el ICS solo infecta los PLC Siemens S7-300, e incluso entonces, solo si el PLC está conectado a una unidad de frecuencia variable de uno de los dos proveedores. El PLC infectado solo ataca a los sistemas en los que la frecuencia de la unidad está entre 807 Hz y 1210 Hz. Esto es mucho más rápido que las centrífugas tradicionales, pero típico de las centrífugas de gas utilizadas para el enriquecimiento de uranio. El PLC también obtiene un rootkit independiente para evitar que los dispositivos no infectados vean las verdaderas velocidades de rotación.

Resultado

En las instalaciones de Natanz, se cumplieron todos estos requisitos ya que las centrífugas se extienden a 1064 Hz. Una vez infectado, el PLC amplió la centrífuga hasta 1410 Hz durante 15 minutos, luego bajó a 2 Hz y luego volvió a girar hasta 1064 Hz. Hecho repetidamente durante un mes, esto provocó que fallaran alrededor de mil centrifugadoras en las instalaciones de Natanz. Esto sucedió porque los cambios en la velocidad de rotación ejercieron una tensión mecánica en la centrífuga de aluminio, de modo que las piezas se expandieron, entraron en contacto entre sí y fallaron mecánicamente.

Si bien hay informes de que se desecharon alrededor de 1000 centrífugas en este momento, hay poca o ninguna evidencia de cuán catastrófica sería la falla. La pérdida es mecánica, en parte inducida por el estrés y las vibraciones resonantes. La falla también está en un dispositivo enorme y pesado que gira muy rápido y probablemente fue dramática. Además, la centrífuga habría contenido gas hexafluoruro de uranio, que es tóxico, corrosivo y radiactivo.

Los registros muestran que si bien el gusano fue efectivo en su tarea, no fue 100% efectivo. La cantidad de centrifugadoras funcionales que poseía Irán se redujo de 4700 a aproximadamente 3900. Además, todas fueron reemplazadas con relativa rapidez. La instalación de Natanz enriqueció más uranio en 2010, el año de la infección, que el año anterior.

El gusano tampoco fue tan sutil como se esperaba. Se descubrió que los primeros informes de fallas mecánicas aleatorias de las centrífugas no eran sospechosos a pesar de que un precursor los causó a Stuxnet. Stuxnet fue más activo y fue identificado por una empresa de seguridad llamada porque las computadoras con Windows fallaban ocasionalmente. Este comportamiento se observa cuando las vulnerabilidades de la memoria no funcionan según lo previsto. Esto finalmente condujo al descubrimiento de Stuxnet, no a las centrífugas fallidas.

Atribución

La atribución de Stuxnet está envuelta en una negación plausible. Sin embargo, se supone ampliamente que los culpables son tanto Estados Unidos como Israel. Ambos países tienen fuertes diferencias políticas con Irán y se oponen profundamente a sus programas nucleares, por temor a que esté intentando desarrollar un arma nuclear.

El primer indicio de esta atribución proviene de la naturaleza de Stuxnet. Los expertos han estimado que un equipo de 5 a 30 programadores habría necesitado al menos seis meses para escribir. Además, Stuxnet utilizó cuatro vulnerabilidades de día cero, un número inaudito de una sola vez. El código en sí era modular y fácil de expandir. Apuntó a un sistema de control industrial y luego a uno no particularmente común.

Fue increíblemente específicamente dirigido a minimizar el riesgo de detección. Además, utilizó certificados de conductor robados a los que habría sido muy difícil acceder. Estos factores apuntan hacia una fuente extremadamente capaz, motivada y bien financiada, lo que casi con certeza significa una APT de estado-nación.

Las sugerencias específicas sobre la participación de EE. UU. incluyen el uso de vulnerabilidades de día cero previamente atribuidas al grupo Equation, que se cree que forma parte de la NSA. La participación israelí se atribuye un poco menos, pero las diferencias en el estilo de codificación en diferentes módulos sugieren en gran medida la existencia de al menos dos partes contribuyentes. Además, hay al menos dos números que, si se convierten en fechas, serían políticamente significativos para Israel. Israel también ajustó su cronograma estimado para un arma nuclear iraní poco antes de que se desplegara Stuxnet, lo que indica que estaban al tanto de un impacto inminente en el supuesto programa.

Conclusión

Stuxnet era un gusano que se propagaba a sí mismo. Fue el primer uso de un arma cibernética y la primera instancia de malware que causó destrucción en el mundo real. Stuxnet se desplegó principalmente contra la instalación nuclear iraní de Natanz para degradar su capacidad de enriquecimiento de uranio. Hizo uso de cuatro vulnerabilidades de día cero y era muy complejo. Todos los indicios apuntan a que está siendo desarrollado por una APT de estado-nación, con sospechas sobre EE. UU. e Israel.

Si bien Stuxnet tuvo éxito, no tuvo un impacto significativo en el proceso de enriquecimiento de uranio de Irán. También abrió la puerta para el uso futuro de armas cibernéticas para causar daños físicos, incluso en tiempos de paz. Si bien hubo muchos otros factores, también ayudó a aumentar la conciencia política, pública y corporativa sobre la seguridad cibernética. Stuxnet se implementó en el período 2009-2010