Stuxnet: Una bomba de 500 KB

En la anterior entrada hablé sobre el descubrimiento por parte de VirusBlockAda de la primera ciberarma digital, Stuxnet, que utiliza certificados digitales robados y aprovecha una vulnerabilidad de los ficheros .LNK en los sistemas operativos Windows. Todo ello extraído de la historia que cuenta el libro Countdown to Zero Day de Kim Zetter.

Aunque normalmente un malware ocupa entre 10 y 15 KB de memoria, Stuxnet es un arma que está muy por encima de la media con 500 KB, que tras descomprimirlo ocupa 1,18 MB. Sólo el tamaño ya nos indica la potencia de esta ciberarma por la cantidad de módulos y configuraciones que tienen cabida en algo más de 1 MB de código.

Si analizamos tan solo las primeras líneas del código del malware nos daremos cuenta enseguida que las técnicas empleadas van más allá de lo normal, utiliza técnicas de ocultación y propagación que ningún otro malware jamás ha utilizado. Es un malware muy pensado y muy trabajado, un malware profesional que no se conforma con lo mínimo para no ser detectado.

Stuxnet es un malware preparado para ser desplegado mediante una memoria USB, está compuesto por un fichero .DLL cifrado que contiene tres docenas de ficheros .DLL dentro del .DLL principal. Además incorpora ficheros de configuración listos para realizar cambios desde el C&C. Una vez infectada la máquina, el malware no guardaba las bibliotecas DLL en disco, sino que para eludir los antivirus las guardaba directamente en memoria y era capaz de controlar la API de Windows para decirle a los antivirus que allí no había nada que “mirar”.

Una memoria USB con Stuxnet tan solo podía desplegar el malware en tres equipos distintos, es decir, una vez infectadas tres máquinas, el malware se auto-destruía. Stuxnet lo primero que hacía era realizar un inventario del software instalado en la máquina infectada, posteriormente realizaba una búsqueda de software de Siemens, si la máquina víctima no tenía software Siemens se propagaba a otra máquina y el malware se apagaba, si en cambio tenía software Siemens instalado, enviaba la lista del software instalado al servidor de C&C donde los atacantes podría comprobar si se trataba de la máquina que buscaban. Además de la lista de software instalado también enviaba el nombre de la máquina, dominio, IP interna y versión de Windows.

Según los análisis realizados por Symantec, los servidores de C&C se encontraban en los dominios mypremierfutbol.com y todaysfutbol.com, registrados con nombre y tarjetas faltas en Dinamarca y Malasia. Una vez que Symantec se hizo con el control de los dos dominios del C&C detectó unas 38000 infecciones con un ratio de crecimiento de 9000 infecciones al día, aunque al final se detectaron más de 300.000 infecciones en más de 100 países, de las 38000 infecciones detectadas inicialmente, 22000 procedían de Irán y 217 tenían software Siemens instalado, por lo que estaba claro que el origen del foco de infección procedía de Oriente Medio, precisamente de Irán.

Irán nunca ha sido el principal objetivo del malware, siempre ha tenido bajas infecciones. Sin embargo, esta ciberarma digital se saltaba las estadísticas y patrones, ya que estaba claro que Stuxnet no había sido desarrollado para robar fórmulas secretas de laboratorios farmacéuticos ni de entornos industriales, sino de infraestructuras críticas procedentes de Irán.

Tan solo nos queda plantearnos algunas preguntas, ¿se han metido las compañías de antivirus en un problema de estados? ¿han saboteado los planes de algún estado?