El origen de Stuxnet

Las 5 primeras víctimas de Stuxnet fueron elegidas deliberadamente por los hackers, permitiéndoles ejecutar un ataque con Uranio en Netenz.

La historia del gusano Stuxnet copó muchos titulares el año pasado, además de crear un gran revuelo en la industria. Sigue siendo un misterio quién lo creó y por qué, pero se rumorea que fue una colaboración entre la inteligencia israelí y estadounidense, con el objetivo de sabotear un programa nuclear iraní. Esta hipótesis es bastante factible: dicho malware  hizo inoperable el enriquecimiento de las centrifugadoras de uranio, retrasando durante años el proyecto nuclear iraní.

Stuxnet

Los creadores de Stuxnet consiguieron atacar máquinas protegidas desconectadas y ejecutar un sabotaje a escala masiva. Después, el gusano, según creen varios especialistas, perdió el control y empezó a distribuirse activamente, sin causar daños visibles a ordenadores privados y corporativos, ya que en un principio estaba dirigido a sistemas industriales específicos.

Primeras víctimas ó “víctimas Zero”

Kim Zetter, periodista americano, publicó su libro “Cuenta atrás para el Día Cero” en noviembre de 2011. Aprovechamos la ocasión para hablar de algunos hechos que sucedieron con Stuxnet, de los que se habla en el libro, y que son poco conocidos por el público. No vamos a detenernos en los primeros días de vida del gusano, sino a centrarnos en sus acciones, que provocaron un gran número de casos comprometidos entre 2009-2010.

Extender la infección fue bastante simple debido a uno de los atributos del malware: almacena la historia de las máquinas comprometidas, incluidos el nombre, el nombre de dominio y la dirección IP, en su interior. Como estos datos se actualizan constantemente, es posible rastrear su origen.

Symantec, que publicó ” dossier W32 Stuxnet ” en febrero de 2011, averiguó que la distribución empezó con 5 organizaciones (dos de las cuales fueron atacadas dos veces, en 2009 y 2010, algo desocnocido en aquel momento. Para identificarlos, trabajaron como 2 años con el análisis de unos  2000 archivos.

Dominio A

La primera iteración memorable de Stuxnet 2009 (también llamada Stuxnet.a) fue creada el 22 de junio de 2009. Varias horas después de la compilación, el malware infectó un “ISIE”-hosting. Es poco probable que los culpables utilizaran un dispositivo de almacenamiento desmontable; y es que es muy improbable que pudiera introducirse en las instalaciones en una franja de tiempo tan corta.

Fue fácil reproducir lo que sucedió entonces, gracias a un atributo muy interesante del malware: almacena el historial de los dispositivos, incluidos los nombres, el nombre de dominio y la dirección de IP, en su interior.

Fuimos incapaces de identificar a la organización comprometida con datos como estos. Pero estamos bastante seguros de que fue Foolad Technic Engineering (FIECO), un productor iraní de sistemas de automoción para compañías de la industria pesada.

A parte de su habilidad para afectar a la rotación de la centrifugadora, Stuxnet ofrecía un spyware, y FIECO era un buen objetivo para sus creadores. Probablemente, consideraron a la compañía como la vía para llegar a su destino final y un objetivo interesante del cuál extraer datos sobre la industria nuclear iraní. En 2012, el ordenador fue atacado de nuevo por la tercera iteración de Stuxnet.

Dominio B 

La siguiente ” víctima “, fue atacada tres veces : en junio de 2009, y en marzo y mayo de 2010. Fue el segundo ataque en 2010 el que desencadenó la epidemia Stuxnet a nivel global (a.k.a Stuxnet). El dominio “behpajooh”, permite identificar inmediatamente a la víctima. También forma parte de la automatización de la industria y está vinculado a muchas empresas.

En 2006, un periódico dubaití dijo que una de las entidades nacionales estaba implicada en el envío ilegal de componentes para la fabricación de bombas nucleares en Irán, citando a  “Bejpajooh INC”, con sede en Isfahan, como posible destinatario.

El 24 de abril de 2010, Stuxnet viajó desde el dominio Behpajooh hasta MSCCO. El candidato más probable, es la sede más importante de la metalurgia de Irán. Utiliza un gran número de ordenadores, y está relacionado con muchas compañías alrededor del mundo. Con semejante arsenal de relaciones, Stuxnet fue capaz de iniciar una epidemia global: en el verano de 2010, el gusano ya había alcanzado a empresas de Rusia y Bielorrusia.

Dominios C, D y E

El 7 de Julio de 2009, Stuxnet infectó el “app server” del dominio del ordenador de NEDA. En este caso, no tuvimos problemas para identificar a la víctima. A partir de 2008, la compañía está incluida  en el Ministerio de Justicia de EEUU y está acusado de exportar sustancias prohibidas a Irán.

Otra organización fue infectada con el dominio CGJ, junto a NEDA. Tras la investigación, descubrimos que se trataba una vez más, de una organización relacionada con la industria de la automatización con sede en Irán. Aquí se acabó la distribución del malware, a pesar del alcance y el amplio portafolio de la empresa.

El último “caso zero” es famoso por la gran cantidad de máquinas que fueron comprometidas: el 11 de mayo de 2010, terminó con tres ordenadores en el dominio “KALA”. Fue probablemente, Kala Electric, a.k.a Kalaya Eelectric Co. Esta compañía está considerada como la principal generadora de enriquecimiento de uranio IR-1 y uno de los pilares clave del programa de uranio iraní. Es extraño que no la hubieran atacado antes.

Epílogo

Con una capacidad para causar daños tan sofisticados (no es fácil hacer inoperables centrifugadoras de enriquecimiento de uranio), Stuxnet fue extendida de forma bastante primitiva. Más aún, hubo un momento en el que sencillamente se les fue de las manos, no se explica de otra manera la escala de la epidemia que que condujo al gusano tan lejos de su objetivo original.

Teniendo en cuenta todos los inconvenientes, el malware resultó ser bastante productivo: sus creadores ejecutaron con éxito la ciber subversión más grande del mundo, dando comienzo a una nueva era de ciber armas.

Antes de nacer Stuxnet, nadie había pensado en proteger de forma proactiva las instalaciones industriales: es de sobra conocido que el aislamiento de las instalaciones de las redes mundiales es, en sí mismo, un método eficaz. Al atacar con éxito las máquinas desconectadas, los creadores del gusano dieron comienzo a una nueva era en la seguridad de la información. La importancia de Stuxnet, es comparable solo con el conocido como gusano Morris Great Worm or Morris Worm, creado en 1988.

Consejos