Kaspersky

Según Kaspersky, el temido gusano Stuxnet funciona de manera similar a los bloques plásticos interconectables Lego.

El gusano informático Stuxnet es considerado uno de los peores códigos malignos en la historia de la informática. Conocidos son los estragos que causó en los sistemas de control de centrífugas utilizadas para el enriquecimiento de uranio en Irán.

Expertos de Symantec detectaron en octubre pasado indicaciones que sustentan la teoría de que Duqu y Stuxnet tienen el mismo origen. Según Symantec, Duqu funciona como herramienta de reconocimiento que prepara ataques espiando sistemas TI.

Los colegas de Symantec en Kaspersky Lab respaldan la idea que ambos programas tienen el mismo origen, agregando que los mismos desarrolladores han creado nuevas ciberarmas, hasta ahora desconocidas.

Los científicos de la empresa rusa de seguridad aseguran haber encontrado pruebas que confirmarían la existencia de una plataforma común, que aparte de haber propiciado la creación de Stuxnet y Duqu habría sido utilizada para el desarrollo de, al menos, tres amenazas más.

“Legos” militares
Según Kaspersky, se trataría de una serie de módulos de software compatible desarrollados para funcionar conjuntamente, teniendo cada módulo su propia funcionalidad.

Según Kaspersky, los programadores de los códigos malignos pueden crear nuevas ciberarmas agregando o elminando módulos, que funcionan como los bloques interconectables lego.

La misteriosa plataforma ha sido denominada “Tilded” debido a que varios de los archivos asociados tienen nombres que comienzan con una tilde (~) seguido de la letra “d”.

Kaspersky dice no haber encontrado otros módulos con el mismo origen, agregando que los componentes utilizados por Stuxnet y Duqu aparentemente buscan distintas claves del registro de Windows que representan módulos que el malware intenta iniciar. La empresa considera que esta plataforma de ciberguerra tiene una data de aproximadamente cuatro años, o quizás incluso anterior. La base de tal razonamiento es la fecha de compilación del malware, que sería el 31 de agosto de 2007.

Aunque la mayoría de los programas antivirus ya han sido actualizados y protegen contra las infecciones causadas por Stuxnet y Duqu, para sus creadores no es problemático ajustar el código de forma que las nuevas variantes no sean detectadas, al menos inicialmente, concluye Kaspersky.

Confirman tercer ciberataque específico

Las autoridades iraníes confirmaron el domingo 13 de noviembre que algunas de sus instalaciones atómicas han sido infectadas con el troyano Duqu.

Duqu fue detectado el mes pasado y, según numerosos expertos, tiene grandes similitudes con Stuxnet, el gusano que en 2010 desbarató las centrífugas utilizadas para el enriquecimiento de uranio.

El general de brigada Gholam Reza Jalali declaró a la agencia de noticias IRNA que todos los sistemas informáticos de las instalaciones atómicas del país están siendo controlados mediante aplicaciones creadas en Irán para combatir a Duqu.

Reza Jalali indicó que las autoridades están en una etapa inicial del proceso y que se desconoce el número de instalaciones afectadas por Duqu.

Según IRNA, es la tercera vez que el general, que está al mando de la ciber-defensa del país, confirma un ataque específico contra los sistemas informáticos del país.

En abril, Irán reveló que sus sistemas estaban siendo atacados por un malware que internamente denominan “Stars”. Según el general, Duqu es la tercera ola de malware que les afecta.

Al contrario que Stuxnet, Duqu no se propaga, por lo que escapa a la denominación de gusano informático. Asimismo, hasta ahora no se han detectado componentes que saboteen sistemas de control. Sin embargo, distintos expertos han confirmado que Duqu extrae información de los sistemas intervenidos.

Según Symantec, una de las empresas que en las últimas semanas han analizado la nueva amenaza, Duqu puede ser considerado el precursor de un nuevo ataque de tipo Stuxnet. El troyano está diseñado para recabar datos de inteligencia sobre sistemas industriales, y otorgar acceso y control remoto a sus creadores.

Israel y Estados Unidos han expresado grandes preocupaciones de que Irán esté próxima a obtener poderío nuclear. La noticia del ciber-sabotaje contra Irán surge mientras aumentan las advertencias de Israel de un ataque militar convencional contra ese país.

Según se ha constatado, Stuxnet sería un proyecto secreto entre Estados Unidos e Israel, para desbaratar el programa atómico de Irán.

Mediante agujero desconocido en el kernel de Windows

Duqu causó gran interés entre las empresas de seguridad informática por tratarse de una amenaza vinculada directamente al temido gusano Stuxnet, diseñado el gobierno israelí para el sabotaje de sistemas industriales.

El troyano para Windows, Duqu, extrae información de los sistemas infectados, supuestamente para preparar ataques contra terceros. Aunque Duqu funciona de manera distinta al gusano Stuxnet, parte de su código fuente sería idéntica al de Stuxnet, lo que sugeriría la misma autoría.

Hasta ahora se había desconocido la forma en que el troyano logró infectar un número limitado de empresas, que incluye a fabricantes de sistemas industriales de control.

Agujero desconocido en Windows
Los mismos investigadores de la Universidad Técnica de Budapest, que inicialmente detectaron a Duqu, han revelado ahora la forma en que el troyano fue instalado subrepticiamente en los sistemas intervenidos.

El grupo de académicos, denominado CrySys, ha revelado el primer ejemplo concreto, señalando que el código fue oculto en un documento de Word, que aprovecha una vulnerabilidad hasta ahora desconocida en el kernel de Windows, según informa Symantec en un post de su blog oficial, publicado el 1 de noviembre.

Lo anterior implica que el ataque es iniciado enviando un archivo Word infectado a la potencial víctima. Cuando el documento es abierto se instalan los archivos binarios del troyano en el PC.

Symantec ha publicado la siguiente representación gráfica de la instalación del troyano:

El próximo martes
El martes 12 de octubre, Microsoft solucionará un total de 49 agujeros de seguridad en sus productos. Esto, en sí, constituye un récord.

Este mes, el día de los parches de Microsoft batirá un récord. Durante los últimos años, Microsoft ha distribuido todos sus parches el segundo martes de cada mes. La excepción ha sido las vulnerabilidades de carácter grave, que son solucionadas inmediatamente. Nunca anteriormente la empresa ha publicado 49 parches simultáneamente.

Cuatro de las vulnerabilidades son descritas como “críticas”; 10 como “importantes”, y 2 como “moderadas”. El resto tiene carácter “menos importante”, explica Microsoft en su Security Bulletin Advance Notification.

La actualización incluye prácticamente la totalidad de los principales productos de software de la compañía, incluyendo Windows 7, Vista, XP, Office 2010, SharePoint y Groove Server.

El récord anterior fue establecido en agosto, cuando Microsoft parcheó 34 vulnerabilidades.

La información disponible no permite concluir con certeza si el elevado número implica que los programas son más vulnerables, o sin Microsoft ha mejorado su capacidad de detectarlas, y solucionarlas.

El elemento más importante en esta oportunidad es que Microsoft soluciona las vulnerabilidades aprovechadas por el gusano Stuxnet. Recientemente, la empresa ha parcheado dos de las vulnerabilidades de Windows aprovechadas por Stuxnet para prepararse.

Ciberterrorismo, armas y guerras virtuales
Kaspersky Lab considera que Stuxnet es el prototipo funcional de una “ciber-arma”, que dará el pistoletazo de salida a una nueva guerra armamentista en el mundo. En esta ocasión, será una carrera “ciber-armamentista”.

Ante el caudal de discusiones y especulaciones generado a raíz de la aparición del gusano informático Stuxnet, en especial sobre quién está detrás del ataque y cuáles son sus objetivos, Kaspersky Lab ha hecho públicas sus primeras reflexiones sobre este hecho.

Kaspersky Lab aún no ha podido acceder a un volumen de evidencias suficiente como para identificar a los atacantes, o el blanco objetivo, pero los expertos en seguridad en informática de la compañía coinciden en que se trata de un ataque singular y sofisticado mediante malware, perpetrado por un equipo con acceso a abundantes recursos financieros, un elevado nivel de preparación y un profundo conocimiento de tecnologías como SCADA.

Los expertos de Kaspersky consideran que no es posible llevar a cabo un ataque de este tipo sin el apoyo y respaldo de un estado-nación.

Ya se refirió a este asunto Eugene Kaspersky, fundador y presidente de Kaspersky Lab: “Creo que representa un punto de inflexión, el amanecer de un nuevo mundo, porque antes sólo nos enfrentábamos a cibercriminales, pero me temo que estamos asistiendo al nacimiento de la era del ciberterrorismo, de las armas y las guerras virtuales”. En rueda de prensa celebrada recientemente en Munich con periodistas de todo el mundo, durante el Simposio de Seguridad Kaspersky, el máximo ejecutivo de Kaspersky Lab no dudó en calificar a Stuxnet como “la apertura de la Caja de Pandora”.

Según Eugene Karpersky, “este programa malicioso no ha sido diseñado para robar dinero, bombardear con spam o acceder a datos personales; ha sido diseñado para sabotear plantas y causar daños en entornos industriales. Mucho me temo que estamos asistiendo al nacimiento de un nuevo mundo. Los 90 fueron la década de los cibervándalos, la década del 2000 fue la de los cibercriminales, y tengo la sensación de que estamos entrando en la nueva era de las ciberguerras y el ciberterrorismo”, concluyó Kaspersky.

Los investigadores de Kaspersky Lab han descubierto que el gusano explota cuatro vulnerabilidades distintas de “día cero”. Los analistas de la firma informaron de tres de ellas directamente a Microsoft, y colaboraron estrechamente con esta compañía para la creación y distribución de los parches.

Además de explotar dichas vulnerabilidades de “día cero”, Stuxnet también hace uso de dos certificados válidos (de Realtek y JMicron), gracias a los que pudo permanecer sin ser descubierto durante un periodo bastante largo de tiempo.

La intención final de este gusano era acceder a sistemas de control industrial Simatic WinCC SCADA, que controlan procesos industriales, infraestructuras e instalaciones. Oleoductos, centrales eléctricas, grandes sistemas de comunicación, navegación aérea y marítima, e incluso instalaciones militares, utilizan sistemas similares.

El conocimiento exhaustivo de estas tecnologías, la sofisticación del ataque a distintos niveles, el recurso a múltiples vulnerabilidades de “día cero” y el uso de certificados legítimos hace que los ingenieros de Kaspersky Lab estén prácticamente seguros de que Stuxnet fue creado por un equipo de profesionales altamente cualificados con acceso a una enorme cantidad de recursos y fondos.

Tanto el blanco del ataque como la geografía donde se han detectado los primeros brotes (principalmente Irán), inducen a pensar que no se trata de un grupo cibercriminal normal. Es más, los expertos en seguridad de Kaspersky Lab, que han analizado el código del gusano, insisten en que el objetivo principal de Stuxnet no ha sido sólo el de espiar sistemas infectados, sino también el de llevar a cabo acciones de sabotaje. Todos estos hechos apuntan al hecho de que es muy probable que algún estado-nación, con acceso a grandes volúmenes de información de inteligencia, haya dado cobertura al desarrollo de Stuxnet.

Fuente: Kaspersky Lab.

Por referencias bíblicas, entre otras cosas
Nuevos detalles sobre el peligroso gusano Stuxnet apuntan hacia Israel. Stuxnet es el primer gusano conocido que espía y reprograma sistemas industriales, pudiendo afectar a infraestructuras críticas como centrales nucleares.

Symantec ha publicado un informe de 49 páginas sobre el gusano Stuxnet, inicialmente usado para sabotear instalaciones industriales en Irán. Aunque la mayor parte de las infecciones han ocurrido en ese país, durante los últimos días ha trascendido que también China se ha visto afectada.

En su informe, Symantec menciona una serie de detalles que apuntarían hacia Israel como posible origen del código maligno. Esta situación en sí no causa sorpresa, ya que Israel ha creado una unidad militar secreta encargada de ciberguerra.

Symantec ha detectado dos nombres de archivos en el código de Stuxnet; “myrtus” y “guava”, que probablemente hacen referencia a relatos del Antiguo Testamento. La empresa de seguridad informática encontró además el valor numérico “19790509” en el código, que podría hacer referencia a la fecha 9 de mayo de 1979, día en que un judío persa fue ejecutado en Irán.

Cabe señalar que estos indicios también podrían haber sido instalados deliberadamente por los autores del gusano con el fin de dirigir la atención hacia Israel.

Con todo, el informe de Symantec contiene varios datos interesantes. Stuxnet intenta infiltrar el software de control de instalaciones industriales de Siemens, WinCC/Step 7, pero dedicándose a una configuración exclusiva del sistema. Symantec intenta detectar donde es usada tal configuración específica. La empresa indica que la función “de comando y control” que hace posible controlar el gusano una vez instalado ya no está disponible, pero que sigue siendo posible controlar el código mediante tecnología P2P (peer-to-peer).

Symantec informa además que el gusano no está diseñado para comunicarse mediante Internet, sino es distribuido principalmente mediante memorias USB, y que su cometido fundamental es sabotear los sistemas infiltrados.

Las características de Stuxnet llevaron a Eugene Kaspersky, presidente de Kaspersky Labs, a señalar que el gusano es el pistoletazo de salida a una nueva guerra ciber-armamentista en el mundo.

Fuentes: Symantec y Wikipedia