viernes, 17 de agosto de 2012

Stuxnet & Duqu


Stuxnet & Duqu

Stuxnet 

Es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares.

Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados. También es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC.

La compañía europea de seguridad digital Kaspersky Labs describía a Stuxnet en una nota de prensa como "un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial". Kevin Hogan, un ejecutivo de Symantec, advirtió que el 60% de los ordenadores contaminados por el gusano se encuentran en Irán, sugiriendo que sus instalaciones industriales podrían ser su objetivo. Kaspersky concluye que los ataques sólo pudieron producirse "con el apoyo de una nación soberana", convirtiendo a Irán en el primer objetivo de una guerra cibernética real.

El objetivo más probable del gusano, según corroboran medios como BBC o el Daily Telegraph, pudieron ser infraestructuras de alto valor pertenecientes a Irán y con sistemas de control de Siemens. Medios como India Times apuntan que el ataque pudo haber retrasado la puesta en marcha de la planta nuclear de Bushehr.4eeee Fuentes iraníes han calificado el ataque como "guerra electrónica" aunque minimizan el impacto de los daños en sus instalaciones. Algunos medios como el norteamericano New York Times han atribuido su autoría a los servicios secretos estadounidenses e israelíes. 

Cómo funciona

Stuxnet busca sistemas de control industriales y luego modifica el código en ellos para permitir que los atacantes tomen control de los sistemas sin que los operadores lo noten. En otras palabras, esta amenaza está diseñada para permitir a los hackers manipular equipamiento físico, lo cual lo hace extremadamente peligroso.

Esta amenaza no es parecida a nada de lo visto anteriormente, no sólo en lo que hace, sino en cómo se descubrió. Es el primer virus informático que permite hacer daño en el mundo físico. Es sofisticado, requirió importantes fondos económicos para ser desarrollado y no existen en la actualidad muchos grupos que puedan desarrollar una amenaza de este tipo. Es también el primer ataque cibernético que hemos visto que ataca específicamente a sistemas de control industrial.

El gusano esta hecho de un complejo código que requiere de muchas y diferentes habilidades para juntarlos. Los expertos de Symantec estiman que tomó entre cinco y diez personas durante seis meses para armar este proyecto además de que los involucrados deben tener conocimiento de los sistemas de control industrial y acceso a dichos sistemas para realizar pruebas de calidad; una vez más indicando que esto fue un proyecto con mucha organización y fondos disponibles.

“Realmente nunca hemos visto algo así antes y el hecho de que pueda controlar el funcionamiento de una maquinaria física es inquietante”, comentó Liam O’Murchu, investigador de Symantec Security Response.

Stuxnet fue la primera ciberarma dirigida al sector industrial. El hecho de que comenzara a infectar PCs  en todo el mundo condujo a su descubrimiento en junio de 2010, aunque la versión más antigua conocida de este programa malicioso fue creada un año antes. El siguiente ejemplo de ciberarma es Duqu y fue descubierto en septiembre de 2011. A diferencia de Stuxnet, la tarea principal del troyano Duqu era convertirse en  puerta trasera del sistema infectado y robar información privada (ciberespionaje).

Durante el análisis de Duqu, se descubrieron grandes similitudes con Stuxnet, que revelaron que los dos han utilizado la misma plataforma de ataque, conocida como la "Plataforma Tilded". El nombre procede de las preferencias de los desarrolladores de malware para nombres de archivo "~ * d *." - por lo tanto, "Tilde-d". El malware Flame era, a primera vista, completamente diferente. Algunas funciones, como el tamaño del programa malicioso, el uso de lenguaje de programación Lua y su funcionalidad indicaban en un primer momento que Flame no estaba conectado a los creadores de Duqu o Stuxnet. Sin embargo, la nueva investigación ha hecho que se reescriba la historia de Stuxnet para poder demostrar sin lugar a dudas, que el "Tilded" es la plataforma de ataque conectada a la plataforma de Flame. 


Duqu

El troyano Duqu ha traído de cabeza a varias compañías de seguridad dado que podría ser muy peligroso, algunos lo denominan Stuxnet 2.0. Un grupo de programadores y analistas de seguridad han conseguido descifrar el lenguaje de programación del mismo, lo que permitirá crear técnicas que permitan el control del mismo y evitar su expansión. 

Este malware es una variante del arma cibernética destinada a retrasar la capacidad de Irán para fabricar bombas nucleares, Stuxnet. El anuncio de que el troyano Duqu estaba desarrollado en un lenguaje de programación ‘desconocido’ desató una tormenta de especulaciones entre expertos en malware y programadores de todo el mundo.

Después de aislar y analizar el troyano y tras la colaboración y sugerencias de centenares de programadores, los analistas de Kaspersky Lab dicen haber resuelto que el lenguaje no es nuevo aunque contaba con un alto grado de optimización y personalización, sin rastro de cualquier firma indicadora que pudiera dar pistas en el código de ensamblador que pudieran ser leídos como una huella digital. Así, Duqu estaría escrito en lenguaje ‘C’ y compilado con el Visual Studio 2008 de Microsoft, aunque incluiría una extensión personalizada conocida como “OO C” para combinar programación orientada a objetos con C.

Por el lenguaje empleado, los investigadores aseguran que Duqu fue escrito por un programador o equipo profesional de la ‘vieja escuela’ que no confían en compiladores como C++. Además, C, es altamente portable a otras plataformas, un plus para un troyano malicioso.

Es seguro que fue realizado ‘por encargo’ con equipos distintos para su creación e infección aunque se desconoce su país de origen y su objetivo concreto. Se sigue pensando que en origen estaba destinado a robar información de infraestructura crítica, tales como centrales eléctricas, refinerías y oleoductos, utilizando una red de miles de ordenadores infectados, aprovechando una vulnerabilidad en sistemas Windows.

El análisis del código de Duqu parece descartar como creían los investigadores relación con Stuxnet a pesar de sus coincidencias. Y es un alivio porque se considera a éste como “el arma cibernética más sofisticada jamás creada”, seguramente en Israel, para piratear, sabotear y retrasar la capacidad de Irán para fabricar bombas atómicas. Un virus que llegó a infectar miles de equipos en 155 países.

El equipo de Kaspersky Lab ha descubierto que Duqu (un nuevo programa que ataca la infraestructura de seguridad informática) tiene características parecidas al virus Stuxnet, la cual afectó a varias plantas industriales en Irán. Duqu tiene la capacidad de adecuarse a cada sistema que ataca, acción que puede ejecutar penetrando las barreras de seguridad para luego brindar todo el control a los ciber delincuentes.

Los ciber delincuentes se encuentran en la búsqueda constante de nuevas formas de vulnerar la seguridad informática. Y al parecer cada nuevo sistema de ataque es mejor que el anterior, ya que los últimos son más eficientes en la evasión de la detección por parte de los antivirus.

Duqu ha logrado infectar, principalmente, a países que cuentan con programas nucleares. Este nuevo malware brinda control remoto (no autorizado) a las personas que están detrás del ataque, permitiéndoles extraer (robar) toda la información existente en el sistema.

Duqu ha sido desarrollada para atacar cualquier tipo de infraestructura, demostrando el avance y desarrollo de las armas cibernéticas. Este malware cuenta con un sistema universal que le permite atacar y espiar cualquier estructura informática. Pero sus características  indican que ha sido creado, especialmente, para atacar los sistemás más importantes de cada país. “Es una especie de misil que es capaz de hacer llegar cualquier tipo de explosivo hacia cualquier tipo de objetivo” indicó Dmitry Bestuzhev, director del equipo de análisis e investigación global para América Latina.

El virus brinda una forma de acceso al sistema infectado, permitiendo, como ya se dijo, el robo de información de forma silenciosa. Información que en muchas ocasiones los ciber delincuentes usan para realizar actos de sabotaje.

Según Bestuzhev, América latina no está preparada para los ataques dirigidos de Duqu. El especialista considera que los cibercriminales que comandan el virus podrían infectar las estructuras de los gobiernos y las empresas, para lo cual recomienda que dichos sectores tomen medidas preventivas.

Primeros ataques

Kaspersky Security Network detectó cuatro ataques de infección, una de ellas ubicada en Sudán, mientras las otras tres fueron detectadas en Irán.

Los cuatro ataques de Duqu tenía una modificación propia de un controlador diferente, el cual fue usado para la infección. En una de las infecciones localizadas en Irán también se descubrieron dos ataques de red que explotaban la vulnerabilidad MS08-067. Stuxnet y otro programa nocivo más antiguo conocido con el nombre de Kido,

El malware aprovecha una flaqueza de día-0 en el kernel de Windows y relacionada con la fuente True Type para instalarse. Las investigaciones han demostrado que el primer ataque fue efectuado a través de un documento de Word, el cual fue enviado como archivo adjunto a través de un correo electrónico. Posteriormente, los elementos principales del Duqu se instalaron automáticamente cuando la víctima abrió el archivo.

Además, los estudios dieron a conocer que el virus es capaz de infectar los ordenadores que no están conectados a Internet, sino sólo a una red local.

“Duqu tiene la propagación a través de las redes corporativas y en particular las tareas programadas. Este hecho muestra que los que están detrás buscan conseguir acceso a las máquinas no de los usuarios finales, sino de las corporaciones, empresas y gobiernos. Los objetivos a infectar son cuidadosamente seleccionados y trabajados una vez que se llega a tener acceso a un equipo que sería el inicial”, explicó Bestuzhev.

Alexander Góstev, Jefe Experto en Seguridad en Kaspersky Lab, señaló: “A pesar de que los sistemas atacados por Duqu están en Irán, hasta el momento no hay evidencia de que sean sistemas industriales o relacionados con el programa nuclear de este país. Por lo tanto, es imposible afirmar que el blanco del nuevo programa malicioso es el mismo que el de Stuxnet. De todos modos, está claro que cada infección causada por Duqu es única. Esta información nos permite decir con seguridad que se está usando Duqu para lanzar ataques a objetos predeterminados”.

El equipo de Kaspersky Lab continúa investigando el Duqu y está vigilando la situación para poder anticipar la geografía de los blancos, lo cual aún no ha podido definirse debido a que el virus ha infectado a sistemas muy específicos en todo el mundo.

Características del Duqu:

- Cada una de sus modificaciones tiene controladores (drivers) diferentes.

- Se han encontrado evidencias de que  los ejemplares activos de este programa nocivo pueden modificarse dependiendo del objetivo específico que se pretende atacar.



No hay comentarios:

Publicar un comentario