Español | English
rss facebook linkedin Twitter

Stuxnet (II)

Mucho se ha contado de Stuxnet, y mucho queda aún por contar. Desde la publicación del artículo Stuxnet por mi compañero se han conocido más datos sobre el funcionamiento, origen y destino de este malware dirigido hacia el sector industrial.

El análisis minucioso del código de Stuxnet, llevado a cabo por muchas empresas, desvela que el malware no es una herramienta nueva, sino que utiliza componentes desarrollados hace tiempo o que formaban parte de otras herramientas de malware. Algunos de los ficheros que componen este malware están fechados a principios de año, lo que da la idea del tiempo de preparación que se han tomado los creadores de este malware.

Un tiempo de desarrollo tan amplio no sería útil en una red empresarial, siempre tratando de prevenirse contra todo en el menor tiempo posible, pero si es efectivo contra estructuras que apenas se parchean en toda su vida útil como son las infraestructuras de control.
El informe desarrollado por Eset sobre el malware Stuxnet, detalla el proceso de creación del malware, haciendo hincapié en la división del trabajo y la preparación previa del mismo. En este informe se añade una concordancia entre las fechas de los ficheros del malware y los certificados que se usaron en su firma. También se comenta sobre el robo de los certificados, curiosamente en empresas situadas en Taiwán y cercanas la una a la otra, incluyendo la posibilidad de un robo físico de los mismos.

Cuanto más se va conociendo y más se analiza la información del malware, los expertos se ponen más de acuerdo en que se trata de un ataque organizado contra un objetivo concreto, y, además, por una empresa con muchos recursos o incluso un estado. Lo que sí que parece obvio es la parte del objetivo concreto, sobre todo si tenemos en cuenta que más del 80% de los ataques se concentran en tres países, y que la mitad de todos se concentran en Irán, como ya se mencionó en el anterior post. Kevin Hogan, director de seguridad de Symantec, se refería así al ataque “No podemos descartar la posibilidad de que un Estado esté detrás de esto. Basándonos en los recursos necesarios para desarrollarlo, la organización y el conocimiento en profundidad en varios campos - incluido el conocimiento específico de instalaciones en Irán-, solamente un Estado o un actor no estatal con acceso a este tipo de sistemas estatales tiene la posibilidad de hacer algo así”.

Todos estos datos han llevado a los expertos a ponerle un nombre al objetivo: La central nuclear de Bushehr, en Irán, aunque el responsable en materia nuclear de Irán, Ali Akbar Salehi, aseguró que el sistema central de mando en la central nuclear no se vio afectado por Stuxnet. El programa nuclear implantado por el gobierno iraní no cuenta con el apoyo de los países occidentales, muchos de los cuales consideran los sabotajes como un buen modo para detener su programa nuclear.

La mayoría de los expertos mundiales que se han referido a Stuxnet coinciden en que se trata de una herramienta diferente, compleja y con un objetivo especifico. Algunos, más dramáticos, han llegado a comentar que estos ataques pueden ser considerados como nuevas armas para la guerra. Que a la guerra no se va con lanza ya lo sabemos, pero de ahí a que los informáticos conquisten países desde casa como jugando al Civilization me parece que todavía nos queda, aunque nunca se sabe…

Jairo Alonso
S21sec Labs

1 comentario:

Anónimo dijo...

Jairo:
Coincido contigo que es difícil que los informáticos conquistemos países, pero todas las guerras comienzan con un disparo, y si este hace que una central nuclear explote ...
En el primer mundo hay mas de un fanático (y lo que es peor, ocupan funciones importantes en el gobierno de turno) que avalan (y financian) este tipo de actividades.
No me parece que debamos minimar este "virus"
Cordialmente.
HH.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login