Stuxnet: La primera ciberarma digital

Este mes de Noviembre ha sido el lanzamiento del libro Countdown to Zero Day de Kim Zetter donde se explica desde el inicio el descubrimiento de la primera ciberarma usada para ralentizar el enriquecimiento de uranio de la central nuclear de Natanz en Irán. Stuxnet, como así lo apodó Microsoft, tenía un objetivo muy claro, sabotear el enriquecimiento de uranio para prevenir que el presidente Mahmoud Ahmadinejad construyera una bomba nuclear.

Todo comenzó en Junio del 2010, cuando una pequeña compañía de Bielorrusia llamada VirusBlockAda detectó comportamientos anómalos en un equipo de uno de sus clientes ubicado en Irán. Al parecer la máquina se reiniciaba sola, la “limpiaron” y continuaba comportándose de forma irregular. Inicialmente su antivirus no detectaba ningún tipo de malware pero tras un análisis exhaustivo realizado por los expertos de la compañía pudieron detectar un ataque zero day que afectaba a todos los equipos Windows, incluso aquellos actualizados a la última versión. Se trataba de ficheros .LNK que los sistemas operativos Windows analizan para mostrar los iconos de los ejecutables. Inmediatamente, VirusBlockAda desarrolló su propia firma para que su antivirus detectara el zero day, sin embargo esta pequeña compañía ubicada en Bielorrusia no fue tenida en cuenta por los grandes fabricantes hasta que publicaron su descubrimiento en su página web y en foros de seguridad.

Una vez que el zero day estuvo en manos de Microsoft, además de otras compañías de antivirus acostumbradas a analizar códigos complejos como Kaspersky, se detectó que el malware podía vivir perfectamente en el kernel del sistema operativo junto con los principales software de antivirus sin ser detectado. Sin embargo, el malware no podía coexistir con el antivirus desarrollado por la pequeña compañía VirusBlockAda, los equipos infectados que tenían su software antivirus producían un crash del sistema operativo, y este fue el principal motivo de su detección. Conforme se siguió en la investigación del malware, el siguiente paso fue descubrir que el driver instalado por Stuxnet estaba firmado digitalmente por la compañía Taiwanesa Realtek Semiconductor y esta fue la principal causa por el cual los equipos Windows permitían instalar el driver infectado, es decir, confiaban en el driver porque estaba firmado digitalmente por una compañía confiable.

Una vez revocado el certificado digital de Realtek y desarrollada las firmas para los antivirus, el 17 de Julio la empresa de antivirus ESET detectó una variación de Stuxnet que utilizaba otro certificado digital para compilar el malware, esta vez de otra compañía Taiwanesa llamada JMicron Technology, que casualmente sus oficinas se encuentran en el mismo edificio que las de Realtek. La fecha de compilación del binario tan solo era de dos días posterior a la primera publicación oficial de Stuxnet. ¿Qué pretendían los atacantes? ¿Cómo habían robado los certificados?

En cualquier caso, estamos ante un ataque muy profesional, posiblemente desarrollado por una docena de expertos en seguridad con el apoyo de algún gobierno, ya que Stuxnet no estaba preparado para robar credenciales bancarias, sino para modificar un sistema de control industrial diseñado para trabajar con PLC de Siemens.

Animo a todos aquellos apasionados por la seguridad a leer este interesante libro, que iré recapitulando en futuras entradas.

Un saludo amigos!