O que é Stuxnet?

Quando se trata de segurança cibernética, normalmente são as violações de dados que chegam aos noticiários. Esses incidentes afetam muitas pessoas e representam um péssimo dia de notícias para a empresa que recebe a violação de dados. Muito menos regularmente, você ouve sobre uma nova exploração de dia zero que muitas vezes anuncia uma onda de violações de dados de empresas que não podem se proteger. Não é muito comum ouvir sobre incidentes cibernéticos que não afetam diretamente os usuários. O Stuxnet é uma dessas raras exceções.

Desparasitando-se

Stuxnet é o nome de um tipo de malware. Especificamente, é um worm. Um worm é um termo usado para se referir a qualquer malware que pode se propagar automaticamente de um dispositivo infectado para outro. Isso permite que ele se espalhe rapidamente, pois uma única infecção pode resultar em uma infecção em escala muito maior. Não foi isso que tornou o Stuxnet famoso. Nem o quão amplamente se espalhou, já que não causou tantas infecções. O que fez o Stuxnet se destacar foram seus alvos e suas técnicas.

O Stuxnet foi encontrado pela primeira vez em uma instalação de pesquisa nuclear no Irã. Especificamente, as instalações de Natanz. Algumas coisas sobre isso se destacam. Em primeiro lugar, Natanz era uma instalação atômica trabalhando no enriquecimento de urânio. Em segundo lugar, a instalação não estava conectada à Internet. Esse segundo ponto dificulta a infecção do sistema com malware e é normalmente conhecido como “air gap”. Um espaço de ar é geralmente usado para sistemas suscetíveis que não precisam ativamente de uma conexão com a Internet. Isso dificulta a instalação de atualizações, mas também diminui o cenário de ameaças.

Nesse caso, o Stuxnet foi capaz de “pular” o entreferro por meio do uso de pendrives. A história precisa é desconhecida, com duas opções populares. A história mais antiga era que os pendrives foram deixados sub-repticiamente no estacionamento da instalação e que um funcionário excessivamente curioso o conectou. então. O malware no stick USB incluía o primeiro dos quatro exploits de dia zero usados ​​no Stuxnet. Este dia zero lançou automaticamente o malware quando o stick USB foi conectado a um computador com Windows.

Alvos do Stuxnet

O alvo principal do Stuxnet parece ser a instalação nuclear de Natanz. Outras instalações também foram afetadas, com o Irã registrando quase 60% de todas as infecções em todo o mundo. Natanz é empolgante porque uma de suas principais funções como instalação nuclear é enriquecer urânio. Embora o urânio levemente enriquecido seja necessário para usinas nucleares, o urânio altamente enriquecido é necessário para construir uma bomba nuclear baseada em urânio. Enquanto o Irã declara que está enriquecendo urânio para uso em usinas nucleares, tem havido preocupação internacional com a quantidade de enriquecimento acontecendo e que o Irã poderia estar tentando construir uma arma nuclear.

Para enriquecer o urânio, é necessário separar três isótopos: U234, U235 e U238. O U238 é de longe o mais abundante naturalmente, mas não é adequado para energia nuclear ou uso de armas nucleares. O método atual usa uma centrífuga onde a rotação faz com que os diferentes isótopos se separem por peso. O processo é lento por vários motivos e leva muito tempo. Criticamente, as centrífugas usadas são muito sensíveis. As centrífugas em Natanz giravam a 1064 Hz. O Stuxnet fez com que as centrífugas girassem mais rápido e depois mais devagar, até 1410 Hz e até 2 Hz. Isso causou estresse físico na centrífuga, resultando em falha mecânica catastrófica.

Essa falha mecânica foi o resultado pretendido, com o objetivo presumido de retardar ou interromper o processo de enriquecimento de urânio do Irã. Isso torna o Stuxnet o primeiro exemplo conhecido de uma arma cibernética usada para degradar as habilidades de um estado-nação. Também foi o primeiro uso de qualquer forma de malware que resultou na destruição física de hardware no mundo real.

O Processo Real do Stuxnet – Infecção

Stuxnet foi introduzido em um computador através do uso de um stick USB. Ele usou uma exploração de dia zero para executar a si mesmo quando conectado a um computador com Windows automaticamente. Um stick USB foi usado como alvo principal. A instalação nuclear de Natanz estava isolada e não conectada à Internet. O stick USB foi “caído” perto da instalação e inserido por um funcionário involuntário ou foi introduzido por um espião holandês na instalação; as especificidades disso são baseadas em relatórios não confirmados.

O malware infectou computadores Windows quando o pendrive foi inserido por meio de uma vulnerabilidade de dia zero. Esta vulnerabilidade visava o processo que renderizava ícones e permitia a execução remota de código. Essencialmente, essa etapa não exigia interação do usuário além da inserção do pendrive. O malware incluía um rootkit que permitia infectar profundamente o sistema operacional e manipular tudo, incluindo ferramentas como antivírus, para ocultar sua presença. Ele foi capaz de se instalar usando um par de chaves de assinatura de driver roubadas.

Dica: os rootkits são vírus particularmente desagradáveis, muito difíceis de detectar e remover. Eles se colocam em uma posição em que podem modificar todo o sistema, incluindo o software antivírus, para detectar sua presença.

O malware então tentou se espalhar para outros dispositivos conectados por meio de protocolos de rede local. Alguns métodos faziam uso de explorações conhecidas anteriormente. No entanto, um usou uma vulnerabilidade de dia zero no driver Windows Printer Sharing.

Curiosamente, o malware incluiu uma verificação para desativar a infecção de outros dispositivos, uma vez que o dispositivo infectou três dispositivos diferentes. No entanto, esses dispositivos estavam livres para infectar outros três dispositivos cada, e assim por diante. Ele também incluiu uma verificação que excluiu automaticamente o malware em 24 de junho de 2012.

O Processo Real do Stuxnet – Exploração

Depois de se espalhar, o Stuxnet verificou se o dispositivo infectado poderia controlar seus alvos, as centrífugas. PLCs Siemens S7 ou controladores lógicos programáveis ​​controlavam as centrífugas. Os CLPs, por sua vez, foram programados pelos softwares Siemens PCS 7, WinCC e STEP7 Industrial Control System (ICS). Para minimizar o risco de o malware ser encontrado onde não poderia afetar seu alvo se não encontrar nenhum dos três softwares instalados, ele fica inativo, sem fazer mais nada.

Se algum aplicativo ICS estiver instalado, ele infectará um arquivo DLL. Isso permite controlar quais dados o software envia para o PLC. Ao mesmo tempo, uma terceira vulnerabilidade de dia zero, na forma de uma senha de banco de dados codificada, é usada para controlar o aplicativo localmente. Combinados, isso permite que o malware ajuste a programação do PLC e oculte o fato de ter feito isso do software ICS. Gera falsas leituras indicando que está tudo bem. Ele faz isso ao analisar a programação, ocultar o malware e relatar a velocidade de rotação, ocultando o efeito real.

O ICS só infecta PLCs Siemens S7-300 e, mesmo assim, apenas se o PLC estiver conectado a um inversor de frequência variável de um dos dois fornecedores. O PLC infectado ataca apenas os sistemas em que a frequência do drive está entre 807 Hz e 1210 Hz. Isso é muito mais rápido do que as centrífugas tradicionais, mas típico das centrífugas a gás usadas para enriquecimento de urânio. O PLC também recebe um rootkit independente para evitar que dispositivos não infectados vejam as verdadeiras velocidades de rotação.

Resultado

Na instalação de Natanz, todos esses requisitos foram atendidos, pois as centrífugas operam a 1064 Hz. Uma vez infectado, o PLC expande a centrífuga até 1410 Hz por 15 minutos, depois cai para 2 Hz e depois volta para 1064 Hz. Feito repetidamente ao longo de um mês, isso causou a falha de cerca de mil centrífugas na instalação de Natanz. Isso aconteceu porque as mudanças na velocidade de rotação colocaram estresse mecânico na centrífuga de alumínio, de modo que as peças se expandiram, entraram em contato umas com as outras e falharam mecanicamente.

Embora existam relatos de cerca de 1.000 centrífugas descartadas nessa época, há pouca ou nenhuma evidência de quão catastrófica seria a falha. A perda é mecânica, parcialmente induzida por estresse e vibrações ressonantes. A falha também está em um dispositivo enorme e pesado girando muito rápido e provavelmente foi dramático. Além disso, a centrífuga continha gás hexafluoreto de urânio, que é tóxico, corrosivo e radioativo.

Os registros mostram que, embora o worm tenha sido eficaz em sua tarefa, não foi 100% eficaz. O número de centrífugas funcionais que o Irã possuía caiu de 4.700 para cerca de 3.900. Além disso, todas foram substituídas com relativa rapidez. A instalação de Natanz enriqueceu mais urânio em 2010, o ano da infecção, do que no ano anterior.

O verme também não era tão sutil quanto o esperado. Os primeiros relatórios de falhas mecânicas aleatórias de centrífugas foram considerados insuspeitos, embora um precursor os tenha causado no Stuxnet. O Stuxnet era mais ativo e foi identificado por uma empresa de segurança chamada porque os computadores com Windows travavam ocasionalmente. Esse comportamento é visto quando as explorações de memória não funcionam conforme o esperado. Isso acabou levando à descoberta do Stuxnet, não das centrífugas com defeito.

Atribuição

A atribuição do Stuxnet está envolta em negação plausível. Os culpados, no entanto, são amplamente considerados como os EUA e Israel. Ambos os países têm fortes diferenças políticas com o Irã e se opõem profundamente a seus programas nucleares, temendo que esteja tentando desenvolver uma arma nuclear.

A primeira dica para essa atribuição vem da natureza do Stuxnet. Especialistas estimam que uma equipe de 5 a 30 programadores levaria pelo menos seis meses para escrever. Além disso, o Stuxnet usou quatro vulnerabilidades de dia zero, um número inédito de uma só vez. O código em si era modular e fácil de expandir. Ele visava um sistema de controle industrial e, em seguida, um não particularmente comum.

Foi incrivelmente direcionado especificamente para minimizar o risco de detecção. Além disso, usava certificados de driver roubados que seriam muito difíceis de acessar. Esses fatores apontam para uma fonte extremamente capaz, motivada e bem financiada, o que quase certamente significa uma APT de estado-nação.

Dicas específicas para o envolvimento dos EUA incluem o uso de vulnerabilidades de dia zero anteriormente atribuídas ao grupo Equation, amplamente considerado parte da NSA. A participação israelense é um pouco menos bem atribuída, mas as diferenças no estilo de codificação em diferentes módulos sugerem fortemente a existência de pelo menos duas partes contribuintes. Além disso, há pelo menos dois números que, se convertidos em datas, seriam politicamente significativos para Israel. Israel também ajustou seu cronograma estimado para uma arma nuclear iraniana pouco antes do Stuxnet ser implantado, indicando que eles estavam cientes de um impacto iminente no suposto programa.

Conclusão

O Stuxnet era um worm autopropagado. Foi o primeiro uso de uma arma cibernética e a primeira instância de malware causando destruição no mundo real. O Stuxnet foi implantado principalmente contra a instalação nuclear iraniana de Natanz para degradar sua capacidade de enriquecimento de urânio. Ele fazia uso de quatro vulnerabilidades de dia zero e era altamente complexo. Todos os sinais apontam para que seja desenvolvido por um APT de estado-nação, com suspeitas recaindo sobre os EUA e Israel.

Embora o Stuxnet tenha sido bem-sucedido, não teve um impacto significativo no processo de enriquecimento de urânio do Irã. Também abriu as portas para o uso futuro de armas cibernéticas para causar danos físicos, mesmo em tempos de paz. Embora houvesse muitos outros fatores, também ajudou a aumentar a conscientização política, pública e corporativa sobre segurança cibernética. O Stuxnet foi implantado no período de 2009-2010