Stuxnet: As origens

A história do vírus Stuxnet foi manchete em centenas de jornais no ano passado e deu calafrios nos responsáveis pela segurança da indústria informática. Quem o criou e por que fez isso ainda

A história do vírus Stuxnet foi manchete em centenas de jornais no ano passado e deu calafrios nos responsáveis pela segurança da indústria informática. Quem o criou e por que fez isso ainda é um mistério, no entanto, há rumores de que a inteligência americana e israelense queriam usá-lo para sabotar o programa nuclear iraniano. A versão é muito viável já que o malware realmente tornou as centrífugas de enriquecimento de urânio inoperáveis, atrasando anos o desenvolvimento do programa nuclear.

Os criadores do Stuxnet conseguiram atacar sistemas industriais e conseguiram infectar computadores pessoais e de empresas em grande escala. Em seguida, o vírus perdeu o controle e começou a distribuir-se ativamente, sem danos visíveis para PCs domésticos e corporativos.

 

Primeiras vítimas, ou “vítimas Zero”

Kim Zetter, uma jornalista estadunidense, publicou um livro sobre a contagem regressiva para o Zero-Day em novembro de 11. Na ocasião, nós da Kaspersky tivemos a oportunidade de publicar alguns fatos sobre o Stuxnet, que foram retirados do livro e são pouco conhecidos. Não vamos nos alongar muito sobre os primeiros dias do vírus, mas gostaria de nos concentrar nas suas iterações que desencadearam uma abundância de casos em 2009-2010.

Foi fácil para reproduzir o evento que ocorreu em seguida, graças a um dos atributos mais importantes dele: mantém a história das máquinas comprometidas, inclusing nome, nome de domínio e endereço IP, no seu corpo. Como esses dados é constantemente atualizado, nós poderíamos rastrear as origens.

A Symantec, que tinha publicado mais uma vez o “W32.Stuxnet Dossier” em fevereiro de 2011, foi capaz de identificar a distribuição que começou com cinco organizações (duas delas atacadas duas vezes – em 2009 e 2010), até então não divulgadas. Para identificá-los trabalhamos por cerca de dois anos, analisando cerca de 2.000 arquivos.

“Domínio A”

A primeira iteração notável do Stuxnet 2009 (referido como Stuxnet A) foi criada em 22 de junho de 2009. Depois de várias horas de compilação, o malware infectou um PC em um domínio “ISIE”. É pouco provável que os cibercriminosos utilizaramo um dispositivo de armazenamento descartável devido à pouca probabilidade de que poderia ser entregue dentro das instalações industriais em um curto intervalo de tempo.

Foi fácil reproduzir o evento que ocorreu em seguida, graças a um dos seus atributos mais iportantes: manter um histórico dos computadores comprometidos, incluindo nome, nome de domínio e endereço IP em seu corpo

Não fomos capazes de identificar a organização comprometida com dados tão escassos. Mas conseguimos deduzir que se tratava da Foolad Technic Engineering Co (FIECO), uma produtora iraniana de sistemas de automação para empresas da indústria pesada.

Além da capacidade de afetar os rotores da centrífuga, o Stuxnet contou com um módulo de spyware, a FIECO era o alvo ideal para os seus criadores. Provavelmente, eles consideravam a empresa um atalho para o seu destino final e um objeto interessante para recolher dados sobre a indústria nuclear iraniana – em 2010, o computador foi atacado novamente pela terceira iteração do Stuxnet.

“Domínio B”

O próximo “paciente” foi atacado três vezes: em junho de 2009, em março e maio de 2010. O de março foi o que desencadeou a chamada epidemia global do Stuxnet 2010. O domínio “behpajooh” permitiu identificar imediatamente a vítima: a Behpajooh Co. Elec & Comp., que também estava envolvida na indústria de automação e está associada a muitas empresas do setor.

great_stuxnet_09

Em 2006, um jornal de Dubai, Khaleej Times, publicou um artigo que revelou a existência de uma entidade local envolvida com o tráfico ilegal de componentes nucleares com o Irã. O destinatário era a empresa “Bejpajooh INC”, com sede em Isfakhana.

Em 24 de abril de 2010, o Stuxnet viajou desde o domínio Behpajooh para Mobarakeh Steel Company, uma indústria metalúrgica iraniana de grande porte vinculada com muitas outras empresas do setor. Graças a este tipo de conexões, o Stuxnet foi capaz de iniciar uma epidemia global, conseguindo, no verão de 2010, se infiltrar em corporações da Rússia e Bielorússia.

“Domínios C, D e E”

Em 7 de julho de 2009, o Stuxnet infectou o PC “applserver” da empresa NEDA. Neste caso, não encontramos nenhum problema para identificar a vítima. Em 2008, a empresa foi acusada de exportação ilegal de substâncias proibidas para o Irã.

Junto com a NEDA, a empresa Control Gostar Jahed (CGJ) também foi infectada. Ela, assim como as demais, tinha sede no Irã e se dedicava à automatização de processos industriais. Aqui foi onde a distribuição de malware parou, apesar do seu amplio portóflio de grande alcance.

O último ‘paciente zero’ foi responsáel por comprometer um grande número de computadores. Ocorreu em 11 de maio de 2010, o Stuxnet conseguiu se infiltrar em três computadores no domínio da Kalaye Electric Company, considerada a maior desenvolvedora centrífugas de enriquecimento de urânio IR-1  e uma das principais indústrias pilares do programa de urânio iraniano. Estranho ela não ter sido atacada antes disso.

 Epílogo

Para ser um vetor malicioso tão sofisticado (não é nada fácil inutilizar uma máquina de fazer centrífugas de enriquecimento de urânio), o Stuxnet foi distribuído de forma bastante primitiva. Além disso, houve um momento em que ele simplesmente perdeu o controle, caso contrário, teria sido problemático para explicar a escala da Epidemia, que dirigiu o worm tão longe de suas metas originais.

Apesar de todos os inconvenientes, o malware acabou por ser bastante produtivo: seus criadores conseguiram executar a maior cibersubversão do mundo e, de fato, inaugurando uma nova era no mundo das armas cibernéticas.

Antes do #Stuxnet, ninguém pensava na cibersegurança dos sistemas industriais. Se presumia que o isolamento das redes industriais era uma medida suficiente para preservar a segurança empresarial. Através do ataque à máquinas desconectadas, os criadores do worm inauguraram uma nova era na segurança da informação. A importância do Stuxnet pode ser comparado apenas com o Morris Worm , criado em 1988 .

Tradução: Juliana Costa Santos Dias

Dicas