23.7.12

“Stuxnet”, los secretos del virus informático con record de infecciones

Originariamente publicado por Luis Enrique Corredera, en elreservado.es, 26 de octubre de 2010
 
Es un fenómeno que ocurría con cierta frecuencia hace unos años: enciendes el telediario y abren la emisión con el anuncio de un nuevo y peligroso virus informático que está batiendo records de infección a través de Internet.

Poco a poco hemos ido apartando de nuestras vidas este enfoque del virus “on-the-wild” y hace años que no tenemos noticias de grandes epidemias de virus informáticos, con el permiso del Conficker [1], por supuesto.

Podríamos decir que desde el año 2004 [2], el año que vio nacer las familias de virus Sasser [3], Beagle [4], y MyDoom [5]  hasta hoy, salvo honrosas excepciones, no hay grandes infecciones de alcance masivo a nivel mundial, con millones de copias propagándose por todo el mundo.

Los virus masivos han dado paso a otro tipo de especímenes mucho más específicos, muy dirigidos y de baja diseminación, para impedir que las casas de antivirus puedan detectar y proteger a un amplio espectro de los usuarios, y así alargar el tiempo de vida y efectividad de estos especímenes. Uno de estos casos es el ya mítico Stuxnet, que a pesar de su “juventud” tanto ha dado que hablar a nuestros medios de información, y encendido el fuego de la forja de las teorías conspiranoicas.

El investigador alemán Ralph Langner [6], además de estar trabajando duramente en el estudio de Stuxnet y su funcionamiento,  ha puesto en circulación una teoría altamente especulativa: como Irán es el país más infectado, incluyendo la central nuclear de Busher, Stuxnet era una herramienta dirigida a los sistemas de control de las centrales nucleares Irán.

Además de ser especulativa e irresponsable, la hipótesis de partida es falsa, pues Irán no ha sido el país con mayor número de infecciones [7,8], estando muy por delante China, India e Indonesia. Langner ha disparado la popularidad de Stuxnet, y Stuxnet la de Langner.

¿Qué le hace a Stuxnet ser tan especial?

Stuxnet no es ningún espécimen innovador desde el punto de vista morfológico. Al igual que otros malwares (programas maliciosos) sus fases de vida son la infección, propagación y destrucción. Sin embargo, la forma en que hace sus deberes en estas fases sí que ha resultado innovadora.

Al contrario que otros especímenes, que disponen de un único mecanismo de infección, la infección de Stuxnet se lleva a cabo de varias maneras:
    •    A través de memorias USB, aprovechando un peligrosísimo error en los sistemas operativos Windows, que con el simple hecho de acceder a la memoria USB, y mostrar los iconos de los documentos el ordenador ejecutaba el programa malicioso sin el permiso del usuario.
    •    A través de un problema en el servicio de impresión de los sistemas Windows (programa que nos permite enviar varios documentos a la impresora a la vez, y se encarga de gestionar el orden de los mismos de forma correcta).
    •    En redes locales, se propaga a través de un problema de seguridad, a través de una facilidad que tienen los sistemas para permitir comunicarse entre ellos en la red (para los más avanzados, es un error de desbordamiento de buffer en la implementación RPC de los sistemas Windows).
    •    En algunos ordenadores, sus usuarios tienen instalado un programa que se llama WinCC, y que sirve para que los usuarios puedan programar y controlar unos autómatas del fabricante alemán Siemens, que están presentes en una gran cantidad de industrias y aparatos, por ejemplo las máquinas de lavar coches. Stuxnet aprovecha fallos de seguridad en la facilidad de este programa para guardar proyectos y compartirlos con otros usuarios de WinCC.

La infección de Stuxnet es un procedimiento muy cuidado, dotado de muchísimos medios, pues los métodos de infección que ha usado son muchos, complejos y más asombrosos aún cuando señalamos que dos de los métodos usados para la propagación son de tipo Zero-Day (problemas de seguridad que aún no han sido divulgados y están sin proteger por los fabricantes).

Los Zero-day son complicados de encontrar y, si han sido comprados en el mercado negro, son caros de adquirir. Stuxnet tenía muy claro que no debía fallar y para ello no ha escatimado en costes ni recursos. Bruce Schneier [9] calcula que para desarrollarlo han sido necesarias entre 8 y 10 personas durante al menos 6 meses en un laboratorio especializado, dotado de los costosos medios técnicos para poder probar su funcionamiento.

Además de su cuidado proceso de infección, Stuxnet se actualiza a sí mismo conectando se a unos servidores de control ubicados en Malasia y en Dinamarca. También se actualiza Stuxnet cuando se encuentra con otra copia de sí mismo en otros ordenadores: se actualizan entre ellos para garantizar que siempre esté activa la versión más nueva del mismo.

Vale, Stuxnet ha llegado al ordenador, ¿y ahora qué? Una vez que el ordenador ha sido infectado, Stuxnet “deja caer” en el ordenador infectado unos ficheros que contienen programas diseñados para evitar que la infección pueda ser detectada, modificando así el comportamiento de Windows para ocultarse y poder sobrevivir hasta que llegue la hora de la actuación.

Para llevar a cabo la ocultación con éxito y sin alertar al usuario, los autores han conseguido que el programa haya sido firmado digitalmente [10] por dos conocidos fabricantes de hardware: Realtek [11] y JMicron [12]. Esta característica implica que, o bien han conseguido la colaboración de algún trabajador de estas empresas para la firma, o bien han conseguido robar los certificados digitales y las claves privadas  para firma digital de estas empresas, alimentando la teoría de que haya alguna agencia de inteligencia pueda estar implicada.

Llegada la hora de la actuación, y conocer cuál ha sido el verdadero objetivo de Stuxnet, éste detecta cuándo un ordenador infectado se ha conectado a un PLC (autómata), y en este caso descarga sobre él unos pocos bytes para alterar su programación, aprovechando que los PLCs mantienen las mismas claves de acceso que traen de fábrica, y por tanto son de dominio público.

Mientras tecleo este artículo, aún no se conoce cuál es el efecto que puede tener los cambios que Stuxnet introduce en el autómata de destino, y no será un problema fácil de resolver: hay muchos millones de autómatas en instalaciones de todo el mundo, cada uno con su propia programación, y los mismos cambios que introduce Stuxnet pueden tener efectos completamente distintos en función del programa que tenga instalado el autómata, haciendo prácticamente imposible conocer los efectos si no se tiene la programación específica de cada PLC. Habría que probar cada caso concreto todos para saber cuál es el efecto.

La hipótesis más razonable, a la luz de los detalles que se conocen hasta el momento es que su objetivo ha sido uno o un pequeño grupo concreto de autómatas con una programación específica, con finalidad de espionaje o sabotaje industrial. Y su diseminación por el mundo una forma de llegar hasta su objetivo concreto.

El silencioso Stuxnet tiene fecha de caducidad y estaba programado para borrarse a sí mismo el día 24 de Junio de 2012.

Conclusiones

Stuxnet es una virguería tecnológica, desarrollada con un gran talento y medios técnicos, preparada para no fallar en su cometido, haciendo uso de la vanguardia de la seguridad informática para la infección, la ocultación. Este artículo, aunque extenso, no hace honor a todo el potencial de Stuxnet, así que si quieres aprender más sobre él, no olvides visitar el detallado dossier que ha preparado Symantec [13].

La capacidad de llegar hasta sistemas críticos, como sistemas de control industrial de centrales nucleares, sin conexión a Internet, se consigue usando como portador los ordenadores de los técnicos de mantenimiento y el paso de los programas mediante memorias USB.

Llegados a este punto, ¿he sido yo el único en preguntarse dónde están los antivirus? ¿Por qué han fallado los en detectar tanto comportamiento malicioso junto? ¿Qué hay de cierto en esa publicidad en la que nos aseguran protegernos de las amenazas desconocidas?

Aunque no hubiera servido con Stuxnet gracias al zero-day, te dejo breve consejo para mitigar las infecciones por USB: la próxima vez que alguien te deje un pendrive, desconfía, y si no te queda otro remedio, cuando lo enchufes a tu ordenador con Windows, mantén pulsada la tecla “Shift” (la que tiene una flecha gorda apuntando hacia arriba) para evitar que se te auto-ejecute nada.

Referencias Web
1. Gusano Conficker: http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99
2. Notable computer viruses and worms timeline: http://en.wikipedia.org/wiki/Timeline_of_notable_computer_viruses_and_worms
3. Gusano Sasser: http://www.symantec.com/security_response/writeup.jsp?docid=2004-050116-1831-99
4. Gusano Beagle: http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=20402
5. Gusano MyDoom: http://www.symantec.com/security_response/writeup.jsp?docid=2004-012612-5422-99
6. Ralph Lengner: http://www.langner.com/en/index.htm
7. Myrtys and Guava: the epidemic, the trends, the numbers: http://www.securelist.com/en/blog/325/Myrtus_and_guava_the_epidemic_the_trends_the_numbers
8. Propagación de Stuxnet en China: http://www.bbc.co.uk/mundo/noticias/2010/09/100929_1442_stuxnet_virus_gusano_china_dc.shtml
9. Comentario de Bruce Schneier sobre Stuxnet en Forbes: http://www.forbes.com/2010/10/06/iran-nuclear-computer-technology-security-stuxnet-worm.html
10. Hispasec: nueva variante de Stuxnet firmada con un certificado válido: http://www.hispasec.com/unaaldia/4288
11. Realtek: http://www.realtek.com.tw/
12. JMicron: http://www.jmicron.com/
13 Symantec Stuxnet Dossier: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.