miércoles, 6 de octubre de 2010

STUXNET: El virus informatico que atacó Irán


Stuxnet es el primer gusano de su tipo capaz de atacar las infraestructuras críticas como centrales eléctricas y redes de electricidad: los que saben lo han estado esperando durante años.
El 26 de septiembre del 2010, la agencia de noticias estatal de Irán informó que los equipos en su planta nuclear de Bushehr había sido infectado por Stuxnet.
El virus o gusano Stuxnet, que atacó hace unos días las computadoras de la planta nuclear iraní Bushehr, es el primero en la historia en ser capaz no sólo de infectar una red o borrar archivos, sino de destruirla o reprogramarla y de permitir a un hacker tomar control de maquinaria industrial (de haber sido más efectivo: d euna planta donde se enriquece uranio).
Expertos creen que dada su complejidad el virus debió de haber sido diseñado específicamente para atacar a Irán (aunque afectó a otros países también) y probablemente debió de haber sido hecho por un estado, por lo que significaría una acción cibermilitar encubierta.
Se sospecha principlamente de Estados Unidos y de Israel, aunque también se ha mencionado a Gran Bretaña, Rusia y a China.
"Una guerra electrónica ha sido lanzada contra Irán", dijo Mahmud Alyaie, director general del Consejo de Información Tecnológica en el ministerio de Industria y Minas. "Este virus informático está diseñado para transferir al exterior datos sobre las líneas de producción de nuestras industrias"
Un directivo de Symantec, la compañía de antivirus más grande del mundo dijo a New Scientist que este troyano “ha cambiado todo”, inaugurando una nueva era de ciberseguridad.
Otro investigador de Symantec, Liam O’Murchu explicó al New York Times: “El gusano está hecho de un complejo código que requiere de una variedad de habilidades para crearse. Es sofisticado, y debió de ser bien fondeado, y no existen muchos grupos que pudieran haber logrado una amenaza como esta”.
El New York Times cita a un agente de inteligencia de Estados Unidos que reveló que el ciberataque fue hecho por la agencia de seguridad israelí Unit 8200, el equivalente a la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés).

El Stuxnet habría entrado a Irán en una memoria USB y aunque no ha causado nngún daño importante más allá de que sí afectó a 30 mil IPs de la industria iraní, sienta las bases para posibles ataques futuros y alerta sobre cómo el uso de tecnología exportada puede servir para atacar a países enemigos, como un tecnocaballo de troya.
Stuxnet logró penetrar el lenguaje de programación desarrollado especialemente por Siemens para la planta iraní; generalmente se dificulta a los hackers dominar lenguajes customizados, pero esto puede hacerse explotando las vulnerabilidades del Windows de las PC’s que supervisa el lenguaje de control lógico programable (PLC por sus siglas en inglés) para tomar control vía remota.
POR QUÉ TANTO ALBOROTO SOBRE STUXNET ?
Los virus informáticos, gusanos y troyanos han infectado hasta ahora principalmente ordenadores o servidores que mantienen a los negocios electrónicos en funcionamiento. Ellos pueden borrar archivos, claves del sistema o documentos, o tal vez evitar el acceso web, pero no amenazan la vida y la integridad física.
El gusano Stuxnet es diferente. Es la primera pieza de malware hasta ahora capaz de entrar en un tipo de equipo que sea maquinaria de control en el corazón de la industria, permitiendo a un atacante tomar el control de los sistemas críticos, como bombas, motores, alarmas y válvulas en una planta industrial.
En el peor de los casos, los sistemas de seguridad pueden ser apagados en una planta de energía nuclear, el agua fresca contaminada con efluentes de una planta de tratamiento de aguas residuales, o las válvulas de un oleoducto abierto, contaminando la tierra o el mar.
"Dar a un atacante el control de los sistemas industriales, como una represa, una planta de aguas residuales o una estación de energía es extremadamente inusual y lo convierte en un grave peligro con enormes implicaciones mundo real", dice Patrick Fitzgerald, la voz oficial de Symantec.

QUÉ TIPO DE GUSANO ES NECESARIO PARA ATACAR UNA PLANTA INDUSTRIAL ?

La maquinaria industrial no es controlado directamente por el tipo de equipos que todos usamos.
En cambio, los equipos utilizados en un proceso industrial está controlado por un sistema dedicado separado, llamado un controlador lógico programable (PLC), que ejecuta el control de supervisión y el software de adquisición de datos (SCADA).
El PLC controla al software que ejecuta el SCADA, controlando el proceso en cuestión dentro de los límites estrictos de seguridad, el cambio de motores de encendido y apagado, por ejemplo, y el vaciado de los buques, y la retroalimentación de datos que con seguridad puede modificar el proceso sin necesidad de intervención humana - el punto central de automatización industrial.
Es fácil controlar programas que se ejecutan en una PC normal, Mac o Linux. En cambio, las empresas que venden PLC tienen cada uno su propio lenguaje de programación - y que ha hecho difícil para los hackers romperlo.
Sin embargo hay una manera, y es a través de la PC de Windows que supervisa las operaciones del PLC. Stuxnet ha explotado cuatro vulnerabilidades en Microsoft Windows a fin de que un hacker remoto tenga la posibilidad de inyectar código malicioso en un líder en el mercado PLC realizados por conglomerado alemán de electrónica Siemens.
Eso es posible porque los PLC son dispositivos que no están bien defendidos. Operan desde hace muchos años y en electrónica, acceso in situ a ellos se concede a través de conocidas contraseñas, así que rara vez ha cambiado. Incluso cuando Stuxnet fue identificado, Siemens se opuso a cambios de contraseña en base de que podría causar un caos en los sistemas más antiguos y continuaron comunicandosé con las contraseñas antiguas.
DE DONDE VIENE LA INFECCIÓN INICIAL DE STUXNET ?
Parece que llegó por primera vez en Irán en un sencillo lápiz de memoria USB, dice Fitzgerald.
Su equipo en Dublín, Irlanda ha estado analizando Stuxnet desde que fue identificado por primera vez por un equipo de seguridad en Belarús en junio.
La primera de las cuatro vulnerabilidades de Windows permite propagarse en una PC código ejecutable desde una memoria USB. El USB pudo haber sido entregado a un agente de la planta iraní - o simplemente en algún lugar fué insertado en alguna terminal por una persona curiosa.
Dice Fitzgerald: "A continuación, se propaga desde una máquina a la red, explotando una segunda vulnerabilidad, e informa al atacante en Internet donde se encuentra una PC que ejecuta Siemens SCADA software, el atacante puede descargar un diagrama del sistema industrial puesta en marcha de los controles SCADA ".
Los siguientes dos vulnerabilidades de Windows permite que el gusano intensificar su niveles de privilegios para permitir que el atacante pueda inyectar código PLC Siemens en formato de equipo - por escrito en un lenguaje llamado STL - en el PLC. Es que el código que es capaz de realizar las artimañas: tal vez de apagar las alarmas, o restablecer los niveles de seguridad de la temperatura.
COMO SE SABE QUE STUXNET ESTA ACTIVO ?
Symantec Antivirus controla las comunicaciones de los dos dominios de Internet con los cuales el gusano realiza canje de datos.
Por geotagging de las direcciones IP de los equipos controlados por Stuxnet y en comunicación con el atacante, el equipo de Fitzgerald descubrió que el 58,8 por ciento de las infecciones fueron en Irán, el 18,2 por ciento en Indonesia, un 8,3 por ciento en la India, 2,6 por ciento en Azerbaiyán y el 1,6 por ciento en los EE.UU.
QUIÉN ESTÁ DETRÁS DEL GUSANO ?
Nadie lo sabe. Sin embargo, es muy profesional por los códigos escritos, Fitzgerald lo llama "con un amplio espectro de habilidades" para explotar cuatro nuevas vulnerabilidades y desarrollar sus propias pruebas puestas a punto del software SCADA / PLC.
Por todo esto algunos comentaristas sugieren que un estado-nación con un montón de recursos técnicos pueden haber estado detrás de Stuxnet. Sin embargo, los delitos informáticos es un negocio de billones de dólares por lo este esfuerzo no está de más para extorsionistas.
Fuente: News Cientist

EL VIRUS "STUXNET" AFECTÓ A LOS PORTÁTILES DE EMPLEADOS DE LA CENTRAL DE BUSHEHR

Algunos ordenadores portátiles "privados" de operarios y técnicos de la central nuclear de Bushehr quedaron infectados por el potente virus industrial "Stuxnet", admitió hoy el director del Organismo iraní de la Energía Atómica, Ali Akbar Salehí.
El responsable iraní quiso dejar claro, no obstante, que el virus no afectó a los ordenadores de la planta, situada en la costa del golfo Pérsico y que se prevé comience a funcionar a pleno rendimiento en una semana.
"A pesar de los esfuerzos maliciosos de los enemigos, que trataron de introducir este virus en nuestras computadoras, hemos logrado impedir que lo consigan", afirmó.
"El virus no ha afectado a nuestro sistema principal y solamente ha logrado infectar algunos ordenadores portátiles personales", precisó.
Salehi admitió que la presencia de Stuxnet supone un ataque cibernético contra Irán y reveló que expertos iraníes se vieron obligados a redoblar sus esfuerzos para proteger los equipos en los últimos dos meses.
Las autoridades iraníes reconocieron la semana pasada que cerca de 30.000 direcciones IP de sistemas informáticos de decenas de industrias fueron atacados por Stuxnet, que según algunos expertos occidentales podría haber sido diseñado para tratar de frenar el controvertido programa nuclear de Irán El ministro iraní de Telecomunicaciones, Reza Taghipour, también negó que hubiera causado daños graves, aunque admitió que sistemas menos protegidos sí habían quedado infectados por este virus que se infiltra a través de puertos USB y explota la vulnerabilidad del sistema operativo de Windows.
"Equipos especiales de operaciones han comenzado a limpiar los sistemas informáticos industriales y se han puesto en alerta para actuar en caso de que esta amenaza se torne mucho más seria", ya que al parecer el virus puede reconocer el control de una red y destruirla o reprogramarla, agregó.
Expertos europeos en seguridad en internet han advertido que el Stuxnet es un virus muy sofisticado, que probablemente ha sido creado por una gran organización o con la ayuda de algún Gobierno, y que puede considerarse una de las primeras armas para la guerra cibernética.
Por otra parte, Salehi confirmó hoy que la alimentación con combustible nuclear de Bushehr tendrá lugar en los próximos diez días y la energía producida llegará en la red eléctrica tres meses después.
Fuente: ABC.es

EL GUSANO QUE SE INFILTRA EN PLANTAS NUCLEARES INQUIETA A LOS EXPERTOS
Un sofisticado gusano informático llamado Stuxnet ha conseguido introducirse en algunos de los sistemas de control más importantes del mundo.
Su elevada complejidad, el momento en el que ha sido lanzado y varias pistas encerradas en su código llevaron a algunos expertos a calcular que el virus fue originalmente creado por la inteligencia de algún Estado para sabotear una planta nuclear iraní.
De hecho, responsables de la nueva central de Bushehr confirmaron que Stuxnet había dañado los ordenadores del personal de las instalaciones, aunque no había conseguido filtrarse en el sistema que controla la central.
Además, atribuían el sabotaje al intento de gobiernos occidentales o de Israel de ralentizar el programa nuclear iraní, que sospechan tiene como objetivo la fabricación de armas nucleares.
Quizás no sea debido al ataque, pero la planta, que iba a comenzar a generar electricidad en diciembre o enero, retrasará su puesta en marcha dos o tres meses después del calendario previsto.

Pero el asunto no queda ahí, sino que Stuxnet se ha extendido a cientos de sistemas industriales de Irán y de otros países por todo el mundo.
Aunque aún no ha producido daños severos, el virus ha puesto de manifiesto la debilidad de infraestructuras críticas como centrales nucleares u oleoductos, que pueden convertirse en el nuevo «pastel» de los hackers o grupos de saboteadores dispuestos a hacer daño o a llamar la atención mundial sobre sus intereses.
Aunque parezca mentira en equipos tan desarrollados como los de una central, Stunext empieza su viaje letal como muchos otros virus, utilizando una serie de vulnerabilidades de Windows para propagarse, y es más peligroso a través de puertos USB.
Desde los equipos infectados, se dirige a otros que se utilizan de forma generalizada en plantas de energía, de procesamiento de aguas, fábricas, oleoductos, etc...
Es el primer gusano que se dirige a sistemas especializados en control de operaciones industriales. Algo así no tiene precedentes.
DA MIEDO
La gran capacidad del gusano ha impresionado a los expertos en seguridad. Según explica Phyllis Schneck, vicepresidente de McAfee, a la revista Technology Review, «la habilidad de Stunext para dirigirse no sólo a un determinado tipo de sistema, sino de obtener de una forma tan quirúrgica y elaborada lo que quiere da miedo».
Los especialistas creen que las infraestructuras críticas como las plantas nucleares deberán reforzar sus sistemas de seguridad para evitar casos semejantes, ya que la sola idea de caer en manos de hackers dispuestos a organizar una catástrofe resulta aterradora.
De igual forma, creen que Microsoft debe reducir lo máximo posible sus grietas de seguridad, ya que, si ha sucedido una vez, puede volver a ocurrir.
Dale Peterson, CEO de Digital Bond, una consultoría especializada en seguridad industrial, asegura también en Tecnology Review que otros tratarán de repetir y mejorar en el ataque Stuxnet. «Antes, era sólo una teoría (...) Ahora tienen un verdadero ejemplo para señalar como una demostración técnica».




2 comentarios:

  1. Creo que los virus son cada vez mas difíciles de tratar. Yo tengo el antivirus nod32 que me resulta bueno respecto a los pequeños virus que se propagan por la red, pero hay otros que atacan a importantes empresas mundiales

    ResponderEliminar
  2. Using Kaspersky anti-virus for a number of years now, and I'd recommend this product to all of you.

    ResponderEliminar