Virus que pasan de la PC a la vida real: Stuxnet

Virus: Primero simpaticos y juguetones, malvados después –se llevaban tu información  en la mayoría de los casos, el BIOS de tu PC en otros pocos-. devenidos mas tarde en la tanda siguiente de malware que aparentaba no tener una finalidad específica mas que la aparente necesidad de propagarse lo mas rápido posible y multiplicarse a la velocidad de la luz como si fueran conejos.

Al poco tiempo alguien se dio cuenta del potencial que representaban tantos millones de PC infectados y empezaron los problemas: Los virus informáticos dejaron de ser cosa intangible y virtual para pasar a ser algo intangible pero real, por que primero robaban tu dirección de correo electrónico para mandarte propaganda, después convertidos en legión de zombis comandados desde algún oscuro rincón de un servidor IRC, usados para concretar ataques de denegación de servicio a empresas o instituciones, mas adelante, disfrazados de keyloggers te robaban tu nombre de usuario y contraseña de correo electrónico y hasta por ahí nomás llegó la cosa antes de volverse una cosa tangible.

La última generación de malware va mas allá y así como antes te robaba tu número de tarjeta de crédito y número de PIN, ahora le apunta a los datos de acceso a de tu banca electrónica para robarte guita, centavo a centavo o todo junto de un solo guascazo.

Mas o menos por la mitad de la lista que menciono mas arriba empezaron los problemas en serio, la capacidad de las empresas para prestar servicios electrónicos colapsaba en mayor o menor medida y la justicia empezó a legislar el asunto, cárcel a los creadores de malware siempre y cuando los pudieran encontrar (cosa que rara vez ocurrió).

Todo este negocio del malware que mueve pilas y pilas de billetes virtuales –que luego una maquinita, mula de por medio, en algún paraíso fiscal convertirá en papel moneda– le ha dado un gran empuje al mundo de la seguridad informática, los encargados de las contramedidas no dan a basto, siempre habrá una vulnerabilidad por parchar y siempre habrá otra mas por descubrir. Del lado opuesto, mueve a miles de desarrolladores de software que impelidos por la codicia se deben pasar buena parte del día devanándose los sesos para encontrar una fallita nueva de la cual sacar provecho, la quinta pata al gato que le dicen pero versión online, sin gato y sin pata.

Todo esto ha llevado a que la complejidad del malware vaya en aumento de forma exponencial para llegar a extremos que rayan en lo ridículo, como la última actualización del troyano Zeus que es capaz de interceptar el mensaje de texto (SMS) que te envía tu banco a tu teléfono celular como medida de seguridad para confirmar una transacción y responderlo para robarte, sin que vos te enteres de nada. Todo esto por que además de tener la capacidad de infectar tu PC, te puede infectar el teléfono. Si, te conoce hasta ese punto… Mete miedo ¿No?

No debería, al lado de Stuxnet son puras mariconadas.

Stuxnet, la frutillita del postre, es la cúspide del conocimiento humano tecnológicamente hablando, aplicado al malware. El bicho mas jodido del que se tenga conocimiento al día de hoy. Va mucho mas allá que cualquier otro virus. Este está diseñado para romper estructuras en la vida real, colapsar economías y matar personas de las de verdad, de carne y hueso.

Stuxnet hace que cualquier otra forma de malware conocida hasta ahora parezca un nene de pecho, abre la posibilidad de guerras informáticas reales donde no se dispare ni una sola bala pero con la misma cantidad de bajas y todo gracias a un ejército de hackers informáticos que en su vida habrán visto un fusil mas que en un museo y con suerte.

Como ya me excedí bastante en la introducción no voy a entrar mucho en tecnicismos pero a modo de resumen:

Stuxnet es una pieza de software sumamente sofisticada, se estima que detrás de semejante virus-troyano-rootkit y anexos –por que hace de todo– tiene que haber no solo un equipo de programadores especializados en varias disciplinas si no además coordinación y financiación por parte de lo que podría considerarse “ciber-terroristas”.

El bicho se propaga haciendo uso de prácticamente todas las técnicas conocidas hasta el momento y explotando además vulnerabilidades (4 en total) que al momento en que fué avistado por primera vez no eran de dominio público, lo que se conoce como zero-day exploits.

Dos de estas vulnerabilidades ya han sido descubiertas y debidamente parchadas, quedan todavía dos por descubrir: El virus al día de hoy todavía se propaga y escala privilegios sin que nadie haya podido descubrir de que se vale para este cometido. Esto último por si solo ya debería bastar como pauta para que te des cuenta del nivel de conocimiento de la gente que está detrás del asunto.

La finalidad del virus es la de troyanizar PLCs –si no sabés que es un PLC, click acá– y es ahí donde radica lo novedoso. Es el primer rootkit para PLC que se haya visto hasta ahora. Siemens menciona que únicamente para programar un virus capaz de troyanizar un PLC a solo un programador le tomaría meses enteros de trabajo si no años.

El objetivo al infectar PLC´s es poder controlarlos a gusto de quien sea que está detrás del comando maestro, con lo que podrían tranquilamente, por ejemplo, aumentar la presión de gas en una tubería fuera de los límites de la misma produciendo una explosión o paralizar por completo <pegá acá la primera planta industrial que se te venga a la cabeza, desde una usina nuclear hasta la fábrica de alfajores de maicena a la vuelta de tu casa>.

(Estación nuclear de Irán, una de los supuestos “targets”)

Para poder llevar esto a cabo el virus primero infecta a la planta en cuestión desde afuera, por la red o por internet y una vez dentro de la misma se vale de una vulnerabilidad que no era conocida hasta antes del mismo –no, no es la del autorun.inf si no esta otra que es peor– para llevar el virus desde alguna de las PC con conectividad hasta la que comanda el PLC, que siempre que se trate de PCs que controlan procesos críticos, se las mantiene totalmente desconectadas tanto de la red interna como de internet.

Un vez infectado el PLC, este se oculta del operario que lo controla para pasar desapercibido y recaba toda la información necesaria acerca del mismo para poder hacerse con el control del mismo desde el exterior. Para esto nuevamente se valen de los medios de almacenamiento extraible para hacer llegar la información recolectada desde el PLC a una PC con conectividad y por medio de esta a los atacantes.

A quien le pudiera interesar ahondar mas, les dejo el interesantísimo Dossier en formato PDF (49 páginas) de la investigación que hizo del virus la gente del Symantec Security Response, que también pueden ver online aquí y que encontré leyendo el Blog Auditoría de seguridad para empresas.

Ya hay inclusive herramientas de eliminación de Stuxnet como la Stuxnet removal tool de Bitdefender.

¿Será que estamos ante el principio del fin, como en Terminator o Matrix?

12 Comentarios

  1. Hablaste como 100 veces de “vulnerabilidades” “exploits” “parches” pero nunca aclaraste de qué SO estamos hablando… windows?

    Digo.. a ver si me estoy cagando en las patas por semejante virus y al final resulta que mi Debian nunca fue vulnerable…

    digo, no?

  2. ehhhhhhhhh……………….. no ingresen a los links, estan todos infectados ………….. xDDDDDDDDDDDDDDD

    excelente artículo solo queeeeeeeeeee falto aclarar que no todos somos iguales y no todos usamos el mismo SO ……..

    • De hecho, los sistemas operativos de Microsoft controlando PLCs deben ser la inmensa minoría y los pocos que hubiera con seguridad están corriendo WIndows CE, para este típo de aplicaciones tengo entendido que se prefiere “*nix based”, mas puntualmente QNX, VxWorks o similares, que son de los pocos sistemas operativos de tiempo real que existen. Yo al menos, ahí donde las papas queman y nada puede fallar siempre he visto QNX al pié del cañón.

      Todas las vulnerabilidades que se mencionan en el dossier son de Windows exclusivamente así que no CoskiBukowski, tu Debian nunca fué vulnerable.

      ¡Saludos!

  3. Es que no importa, si la joda no está en que nos agarre a nos, sino que agarre un PLC.

    Y siendo que es tan groso el trabajo que hay atrás, seguro que saben que SO usan y como infectarlo (o en el peor de los casos, como hacer que corra sobre varios SO)

    • Bueno, pero si las PCs que controlan los PLCs se infectan porque usan (ponele) windows… entonces que les pongan linux.. o viceversa (lo dudo).

      Saludos.

  4. Aun si fuera linux o windows si algun hackero se le ocurre hacer un virus independiente del SO ahi estamos jodidos, al leer el articulo me recuerda a una escena de la pelicula die hard 4.0 donde el ciber terrorista resentido con el gobierno hace que explote una distribuidora de gas con solo unos cuantos clicks cuando vi esa escena parecia algo muy fantasioso y que jamas pudiera pasar pero con los ultimas denuncias del gobierno de Iran en contra de EEUU de ser el autor de infectar sus instalaciones nucleares con este virus pues lo de skynet no esta muy lejos de ser realidad.

  5. O sea que todo se reduce a que la culpa la tienen los dueños de las fábricas por usar Windows? Por algún motivo eligieron a este SO y estoy seguro que fue porque es el más débil, pero no creo que Linux sea el bastión de la seguridad. Creo que si estos hiper-hackers-terroristas-con_mucho_tiempo hubiera puesto energías en bajar cualquier SO, lo podrían haber hecho.

    Soy el único enfermo al que esto le parece emocionantemente peligroso?

  6. Que lo usen como arma terrorista, militarmente hablando, es una tontería, ya que seria descubierto en menos de lo que canta un gallo y serian tomadas las medidas pertinentes, ademas el terrorismo funciona con escándalo, sangre y mucho ruido con el fin de causar conmoción en la gente, no con ataques silenciosos y pasivos a plantas manufactureras automatizadas, donde si acaso se enterarían unos pocos técnicos.

    Veo mas bien con preocupación que es una herramienta de sabotaje y espionaje perfecto: sabotaje porque fácilmente puedes infectar la industria armamentista enemiga/objetivo y alterar los valores predeterminados para la fabricación de armas y así ver como con un simple clic tu objetivo pierde millones de dolares en toneladas de armas defectuosas, es un saboteo pasivo, sin violencia ni guerras, aunque todo depende de quien use el virus y con que propósito.

    • Yo creo que puede ser pasivo o no… tal como decía el autor del artículo, en teoría con alterar un valor de algún sistema crítico podría ocasionarse un tole tole importante, incluso destructivo. Hay que ver qué tan expuestas están esas cosas únicamente.

      Saludos,

      El Pibe de Sistemas

    • Creo que puede ser peligroso… muy peligroso. Podrian hacer “volar” una central nuclear y eso, para mi es terrorismo…

Dejar respuesta

Please enter your comment!
Please enter your name here