{"id":4391,"date":"2014-11-20T15:45:09","date_gmt":"2014-11-20T15:45:09","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=4391"},"modified":"2019-11-22T08:02:05","modified_gmt":"2019-11-22T11:02:05","slug":"stuxnet-as-origens","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/stuxnet-as-origens\/4391\/","title":{"rendered":"Stuxnet: As origens"},"content":{"rendered":"

A hist\u00f3ria do v\u00edrus\u00a0Stuxnet foi\u00a0manchete em centenas de jornais no ano passado e deu\u00a0calafrios nos respons\u00e1veis pela seguran\u00e7a da ind\u00fastria inform\u00e1tica. Quem o criou e por que fez isso ainda \u00e9 um mist\u00e9rio, no entanto, h\u00e1 rumores de que a intelig\u00eancia americana e israelense queriam us\u00e1-lo para sabotar o programa nuclear iraniano. A vers\u00e3o \u00e9 muito vi\u00e1vel j\u00e1 que o malware realmente tornou as centr\u00edfugas de enriquecimento de ur\u00e2nio inoper\u00e1veis, atrasando anos o desenvolvimento do programa nuclear.<\/p>\n

Os criadores do Stuxnet conseguiram atacar sistemas industriais e conseguiram infectar computadores pessoais e de empresas em grande escala. Em seguida, o v\u00edrus\u00a0perdeu o controle e come\u00e7ou a distribuir-se ativamente, sem danos vis\u00edveis para PCs dom\u00e9sticos e corporativos.<\/p>\n

\u00a0<\/p>\n

Primeiras v\u00edtimas, ou \u201cv\u00edtimas Zero\u201d<\/h3>\n

Kim Zetter, uma jornalista estadunidense, publicou um\u00a0livro sobre a contagem regressiva para o Zero-Day\u00a0em novembro de 11. Na ocasi\u00e3o, n\u00f3s da Kaspersky tivemos a\u00a0oportunidade de publicar alguns fatos sobre o Stuxnet, que foram retirados do livro e s\u00e3o pouco\u00a0conhecidos. N\u00e3o vamos nos alongar muito sobre os primeiros dias do v\u00edrus, mas gostaria de nos concentrar nas suas itera\u00e7\u00f5es que desencadearam uma abund\u00e2ncia de casos em 2009-2010.<\/p>\n

Foi f\u00e1cil para reproduzir o evento que ocorreu em seguida, gra\u00e7as a um dos atributos\u00a0mais importantes dele: mant\u00e9m a hist\u00f3ria das m\u00e1quinas comprometidas, inclusing nome, nome de dom\u00ednio e endere\u00e7o IP, no seu corpo. Como esses dados \u00e9 constantemente atualizado, n\u00f3s poder\u00edamos rastrear as origens.<\/p>\n

A Symantec, que tinha publicado mais uma vez\u00a0o \u201cW32.Stuxnet Dossier\u201d em fevereiro de 2011, foi capaz de identificar a distribui\u00e7\u00e3o que come\u00e7ou com cinco organiza\u00e7\u00f5es (duas delas atacadas duas vezes \u2013 em 2009 e 2010), at\u00e9\u00a0ent\u00e3o n\u00e3o divulgadas. Para identific\u00e1-los trabalhamos por cerca de dois anos, analisando cerca de 2.000 arquivos.<\/p>\n

#Stuxnet<\/a> Zero Victims The identity of the companies targeted by the first known cyber-weapon https:\/\/t.co\/W8PVyGp7b3<\/a> pic.twitter.com\/BWDkVqWPLq<\/a><\/p>\n

\u2014 Dmitry Bestuzhev (@dimitribest) noviembre 11, 2014<\/a><\/p><\/blockquote>\n

\u201cDom\u00ednio A\u201d<\/strong><\/p>\n

A primeira itera\u00e7\u00e3o not\u00e1vel do Stuxnet 2009 (referido como Stuxnet A) foi criada em 22 de junho de 2009. Depois de v\u00e1rias horas de compila\u00e7\u00e3o, o malware infectou um PC em um dom\u00ednio \u201cISIE\u201d. \u00c9\u00a0pouco prov\u00e1vel que os cibercriminosos utilizaramo um dispositivo de armazenamento descart\u00e1vel devido \u00e0 pouca probabilidade de que\u00a0poderia ser entregue dentro das instala\u00e7\u00f5es industriais em um curto intervalo de tempo.<\/p>\n

Foi f\u00e1cil reproduzir o evento que ocorreu em seguida, gra\u00e7as a um dos seus atributos mais iportantes: manter um hist\u00f3rico dos computadores comprometidos, incluindo nome, nome de dom\u00ednio e endere\u00e7o IP em seu corpo<\/div>\n

N\u00e3o fomos capazes de identificar a organiza\u00e7\u00e3o comprometida com dados t\u00e3o escassos. Mas conseguimos deduzir que se tratava da Foolad Technic Engineering Co (FIECO), uma produtora iraniana de sistemas de automa\u00e7\u00e3o para empresas da ind\u00fastria pesada.<\/p>\n

Al\u00e9m da capacidade de afetar os rotores da centr\u00edfuga, o Stuxnet contou com um m\u00f3dulo de spyware, a FIECO era o\u00a0alvo ideal para os seus criadores. Provavelmente, eles consideravam a empresa um atalho para o seu destino final e um objeto interessante para recolher dados sobre a\u00a0ind\u00fastria nuclear iraniana \u2013 em 2010, o computador foi atacado novamente pela terceira itera\u00e7\u00e3o do Stuxnet.<\/p>\n

\u201cDom\u00ednio B\u201d<\/strong><\/p>\n

O pr\u00f3ximo \u201cpaciente\u201d foi atacado tr\u00eas vezes: em junho de 2009, em mar\u00e7o e maio de 2010. O de mar\u00e7o foi o que desencadeou a chamada epidemia global do Stuxnet 2010. O dom\u00ednio \u201cbehpajooh\u201d permitiu identificar imediatamente a v\u00edtima: a Behpajooh Co. Elec & Comp., que tamb\u00e9m estava envolvida na ind\u00fastria de automa\u00e7\u00e3o e est\u00e1 associada a muitas empresas do setor.<\/p>\n

\"great_stuxnet_09\"<\/a><\/p>\n

Em 2006, um jornal de Dubai, Khaleej Times, publicou um artigo que revelou a exist\u00eancia de uma entidade local envolvida com o tr\u00e1fico ilegal de componentes nucleares com o Ir\u00e3. O destinat\u00e1rio era a empresa\u00a0\u201cBejpajooh INC\u201d, com sede em Isfakhana.<\/p>\n

Em 24 de abril de 2010, o Stuxnet viajou desde o dom\u00ednio Behpajooh para\u00a0Mobarakeh Steel Company, uma ind\u00fastria metal\u00fargica iraniana de grande porte vinculada com muitas outras empresas do setor. Gra\u00e7as a este tipo de conex\u00f5es, o Stuxnet foi capaz de iniciar uma epidemia global, conseguindo, no ver\u00e3o de 2010, se infiltrar em corpora\u00e7\u00f5es da R\u00fassia e Bielor\u00fassia.<\/p>\n

\u201cDom\u00ednios C, D e E\u201d<\/strong><\/p>\n

Em 7 de julho de 2009, o Stuxnet infectou o PC \u201capplserver\u201d da empresa NEDA. Neste caso, n\u00e3o encontramos nenhum problema para identificar a\u00a0v\u00edtima. Em 2008, a empresa foi\u00a0acusada de exporta\u00e7\u00e3o ilegal de subst\u00e2ncias proibidas para o Ir\u00e3.<\/p>\n

Junto com a NEDA, a empresa Control Gostar Jahed (CGJ) tamb\u00e9m foi infectada. Ela, assim como as demais, tinha sede no Ir\u00e3 e se dedicava \u00e0 automatiza\u00e7\u00e3o de processos industriais. Aqui foi onde a distribui\u00e7\u00e3o de malware parou, apesar do seu amplio\u00a0port\u00f3flio de grande\u00a0alcance.<\/p>\n

O \u00faltimo \u2018paciente zero\u2019 foi respons\u00e1el por comprometer um grande n\u00famero de computadores. Ocorreu em 11 de maio de 2010, o Stuxnet conseguiu se infiltrar\u00a0em tr\u00eas computadores no dom\u00ednio da Kalaye Electric Company, considerada a maior desenvolvedora centr\u00edfugas de enriquecimento de ur\u00e2nio IR-1 \u00a0e uma das principais ind\u00fastrias pilares do programa de ur\u00e2nio iraniano. Estranho ela n\u00e3o ter sido atacada antes disso.<\/p>\n