BonesMac
BonesMac
Stuxnet: gusano con diseño industrial que viaja a través de memorias USB
El gusano se llama Stuxnet y fue descubierto en junio de 2010 por VirusBlokAda, una compañía de seguridad de Bielorrusia. En julio de ese año, el gigante alemán Siemens advirtió a sus clientes que uno de sus productos, un sistema de administración de control, supervisión y adquisición de datos (SCADA, por sus siglas en inglés), era vulnerable a este virus.
Estos sistemas controlan válvulas, líneas de producción y equipo industrial en general. Stuxnet aprovecha una debilidad en un software SCADA de Siemens, llamado Wincc.
Las empresas comúnmente evitan la infección al desconectar sus sistemas de internet. Es por eso que Stuxnet se mueve en memorias portátiles para acceder a archivos Wincc, que funcionan con el sistema operativo Windows.
De no encontrar esos archivos, se autocopia en cada memoria externa que llegue a su alcance y sigue viajando o busca conectarse a través de redes locales o conexiones de impresora.
Si encuentra Wincc, en cambio, trata de instalar una puerta clandestina a internet y contactar un servidor en Malasia o Dinamarca, en espera de instrucciones.
Al principio se pensó que Stuxnet había sido diseñado para realizar espionaje industrial o para que los hackers pudieran chantajear a las empresas con la amenaza de apagar sistemas vitales. Sin embargo, sus características sugieren otra cosa. Wincc es un sistema poco conocido y su efecto es sumamente dirigido.
Siemens ha detectado 15 plantas infectadas en el mundo, pero ninguna resultó afectada porque no era el objetivo final. Otro aspecto relevante es que, para autoejecutarse desde una memoria portátil, el gusano aprovecha dos certificados de seguridad vulnerables y un agujero de seguridad en Windows, ninguno de los cuales era conocido hasta ese momento.
Para los expertos, Stuxnet es el trabajo de un equipo dotado de los mejores recursos y abundante financiamiento, ya que quienes lo diseñaron tenían conocimiento detallado de los sistemas de control y los procesos de producción industrial de Siemens, así como acceso al diseño de la planta que querían atacar.
En agosto de 2010, Microsoft anunció que Stuxnet había afectado 45,000 máquinas. La firma antivirus Symantec encontró que, de ese total, un 60% estaba en Irán, un 18% en Indonesia y un 8% en India.
Eso podría ser una coincidencia, pero si el blanco está en Irán, podría tratarse del reactor nuclear de Bushehr, que utiliza Wincc y es una pieza clave del programa nuclear de ese país.
Según Estados Unidos e Israel, esta instalación tiene por objetivo construir bombas atómicas. A fines de septiembre, las autoridades iraníes admitieron que algunas de sus computadoras en Bushehr se habían infectado con Stuxnet, pero que nada había pasado.
Otro posible objetivo podría ser la planta de enriquecimiento de uranio en Natanz. Los inspectores del Organismo Internacional de la Energía Atómica informaron que alrededor de la mitad de las centrifugadoras necesarias para enriquecer el uranio hasta el punto de poder ser usado en bombas del país estaban fuera de uso, y que las que funcionaban lo hacían a poca velocidad.
Los sospechosos inmediatos son quienes denuncian los objetivos militares del programa nuclear iraní.
Desde 2009, Scott Borg, de la Unidad de Ciber Consecuencias de Estados Unidos, un instituto de investigación, había advertido que a Israel podría interesarle lanzar un ataque cibernético contra las instalaciones atómicas iraníes, y precisó que podría tratar de interrumpir equipo sensible usando un virus transportado en memorias USB.
No se puede probar que Israel fue su creador, pero alguien parece haber dejado huellas intencionalmente, como una forma de mandar un mensaje.
En el código informático se hallaron dos claves: una es hadassa, que en hebreo significa "mirto" y también es una forma de referirse a Esther, una reina judía que, en el Libro de Esther del Antiguo Testamento, desbarató un complot persa (Irán es el territorio de la antigua Persia).
La otra es un número que podría ser una fecha: 19790509. El 9 de mayo de 1979, la entonces recientemente victoriosa revolución islámica del ayatolá Jomeiní, cuyos herederos gobiernan ahora Irán, ejecutó a Habib Elghanian, un líder de la comunidad judía en ese país.
El gusano se llama Stuxnet y fue descubierto en junio de 2010 por VirusBlokAda, una compañía de seguridad de Bielorrusia. En julio de ese año, el gigante alemán Siemens advirtió a sus clientes que uno de sus productos, un sistema de administración de control, supervisión y adquisición de datos (SCADA, por sus siglas en inglés), era vulnerable a este virus.
Estos sistemas controlan válvulas, líneas de producción y equipo industrial en general. Stuxnet aprovecha una debilidad en un software SCADA de Siemens, llamado Wincc.
Las empresas comúnmente evitan la infección al desconectar sus sistemas de internet. Es por eso que Stuxnet se mueve en memorias portátiles para acceder a archivos Wincc, que funcionan con el sistema operativo Windows.
De no encontrar esos archivos, se autocopia en cada memoria externa que llegue a su alcance y sigue viajando o busca conectarse a través de redes locales o conexiones de impresora.
Si encuentra Wincc, en cambio, trata de instalar una puerta clandestina a internet y contactar un servidor en Malasia o Dinamarca, en espera de instrucciones.
Al principio se pensó que Stuxnet había sido diseñado para realizar espionaje industrial o para que los hackers pudieran chantajear a las empresas con la amenaza de apagar sistemas vitales. Sin embargo, sus características sugieren otra cosa. Wincc es un sistema poco conocido y su efecto es sumamente dirigido.
Siemens ha detectado 15 plantas infectadas en el mundo, pero ninguna resultó afectada porque no era el objetivo final. Otro aspecto relevante es que, para autoejecutarse desde una memoria portátil, el gusano aprovecha dos certificados de seguridad vulnerables y un agujero de seguridad en Windows, ninguno de los cuales era conocido hasta ese momento.
Para los expertos, Stuxnet es el trabajo de un equipo dotado de los mejores recursos y abundante financiamiento, ya que quienes lo diseñaron tenían conocimiento detallado de los sistemas de control y los procesos de producción industrial de Siemens, así como acceso al diseño de la planta que querían atacar.
En agosto de 2010, Microsoft anunció que Stuxnet había afectado 45,000 máquinas. La firma antivirus Symantec encontró que, de ese total, un 60% estaba en Irán, un 18% en Indonesia y un 8% en India.
Eso podría ser una coincidencia, pero si el blanco está en Irán, podría tratarse del reactor nuclear de Bushehr, que utiliza Wincc y es una pieza clave del programa nuclear de ese país.
Según Estados Unidos e Israel, esta instalación tiene por objetivo construir bombas atómicas. A fines de septiembre, las autoridades iraníes admitieron que algunas de sus computadoras en Bushehr se habían infectado con Stuxnet, pero que nada había pasado.
Otro posible objetivo podría ser la planta de enriquecimiento de uranio en Natanz. Los inspectores del Organismo Internacional de la Energía Atómica informaron que alrededor de la mitad de las centrifugadoras necesarias para enriquecer el uranio hasta el punto de poder ser usado en bombas del país estaban fuera de uso, y que las que funcionaban lo hacían a poca velocidad.
Los sospechosos inmediatos son quienes denuncian los objetivos militares del programa nuclear iraní.
Desde 2009, Scott Borg, de la Unidad de Ciber Consecuencias de Estados Unidos, un instituto de investigación, había advertido que a Israel podría interesarle lanzar un ataque cibernético contra las instalaciones atómicas iraníes, y precisó que podría tratar de interrumpir equipo sensible usando un virus transportado en memorias USB.
No se puede probar que Israel fue su creador, pero alguien parece haber dejado huellas intencionalmente, como una forma de mandar un mensaje.
En el código informático se hallaron dos claves: una es hadassa, que en hebreo significa "mirto" y también es una forma de referirse a Esther, una reina judía que, en el Libro de Esther del Antiguo Testamento, desbarató un complot persa (Irán es el territorio de la antigua Persia).
La otra es un número que podría ser una fecha: 19790509. El 9 de mayo de 1979, la entonces recientemente victoriosa revolución islámica del ayatolá Jomeiní, cuyos herederos gobiernan ahora Irán, ejecutó a Habib Elghanian, un líder de la comunidad judía en ese país.
