Stuxnet es un gusano que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda (aunque el gusano contiene algunos elementos compilados el 3 de febrero de 2010, según indica su timestamp), una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares.

Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados. También es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC.

La compañía europea de seguridad digital Kaspersky Labs describía a Stuxnet en una nota de prensa como “un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial”. Kevin Hogan, un ejecutivo de Symantec, advirtió que el 60% de los ordenadores contaminados por el gusano se encuentran en Irán, sugiriendo que sus instalaciones industriales podrían ser su objetivo. Kaspersky concluye que los ataques sólo pudieron producirse “con el apoyo de una nación soberana”, convirtiendo a Irán en el primer objetivo de una guerra cibernética real.

El objetivo más probable del gusano, según corroboran medios como BBC o el Daily Telegraph, pudieron ser infraestructuras de alto valor pertenecientes a Irán y con sistemas de control de Siemens. Medios como India Times apuntan que el ataque pudo haber retrasado la puesta en marcha de la planta nuclear de Bushehr. Fuentes iraníes han calificado el ataque como “guerra electrónica” aunque minimizan el impacto de los daños en sus instalaciones. Algunos medios como el norteamericano New York Times han atribuido su autoría a los servicios secretos estadounidenses e israelíes.

El código del gusano contiene la referencia a una cita bíblica con el nombre “Myrtus” (vendria a significar Esther). El Libro de Esther relata un complot persa para destruir Israel. Esta cita tanto puede ser interpretada como una firma que implicaría al Gobierno israelí en la fabricación del virus como, por el contrario, un intento de sus reales autores de orientar falsas sospechas hacia Israel y confundir a los investigadores.

Stuxnet infecta equipos con Windows a tráves de memorias USB y luego se propaga usando 4 vulnerabilidades (0day), incluyendo la vulnerabilidad CPLINK usada por el gusano conficker. Su objetivo son sistemas que emplean los programas de monitorización y control industrial (SCADA) WinCC/PCS 7 de Siemens. Una vez introducido en el sistema, Stuxnet usa las contraseñas por defecto para obtener el control, el fabricante, Siemens, aconseja no cambiar las contraseñas originales porque esto “podría tener impacto en el funcionamiento de la planta”.

La complejidad de Stuxnet es muy poco habitual en un ataque de malware. El ataque requiere conocimientos de procesos industriales y algún tipo de deseo de atacar infraestructuras industriales. En concreto, según la empresa Symantec, Stuxnet verifica la existencia en el objetivo de cierto número de motores variadores fabricados por dos empresas concretas, una iraní y otra finlandesa, estableciéndose rutinas distintas según la cantidad de variadores de uno y otro fabricante.

Además, Stuxnet es extrañamente grande, ocupando medio megabyte y está escrito en distintos lenguajes de programación, incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo.

Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Tiene capacidad de actualización mediante P2P, lo que permite su puesta al día incluso después de que el servidor remoto de control haya sido desactivado.

La agencia oficial china Xinhua afirma que el origen estaría en un ataque desde servidores ubicados en Estados Unidos. Stuxnet ya habría afectado a seis millones de ordenadores y a unas mil empresas en aquel país.

VIDEOS




MÁS INFORMACIÓN

www.symantec.com

HERRAMIENTAS DE DESINFECCIÓN

www.bitdefender.es

FUENTES

http://wikipedia.org
tecnologia.elpais.com