julio 18, 2024

Stuxnet, el gusano de los sistemas SCADA

Stepanenko marzo 21, 2017
Descargar artículo en PDF

 

Se trata de un gusano informático que afecta a equipos con sistema operativo Windows, descubierto en junio de 2010 por VirusBlokAda, empresa de seguridad en Bielorrusia.

Es el primer gusano conocido que espía y reprograma sistemas industriales, específicamente, sistemas SCADA de control y monitorización de procesos, con lo que se puede afectar a infraestructuras críticas como centrales nucleares.

Stuxnet puede reprogramar Controladores Lógicos Programables (PLC) y ocultar los cambios que se realizaron. También es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC.

Kaspersky Lab describía a Stuxnet en una nota de prensa como “un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial”.

Por otro lado, Kevin Hogan, un ejecutivo de Symantec, dijo que el 60% de las computadoras contaminadas por este gusano se encuentran en Irán, intentando dar a conocer que sus instalaciones industriales podrían ser su objetivo.
Kaspersky afirmó que los ataques sólo pudieron producirse “con el apoyo de una nación soberana”, lo que convierte a Irán en el primer objetivo de una guerra cibernética real.

VirusBlokAda informó de la existencia del gusano a mediados de junio de 2010, y partes de su componente se han fechado desde junio de 2009.

Los países afectados son Irán, con 62,867 ordenadores infectados, Indonesia, con 13,336 ordenadores infectados, India, con 6,552 ordenadores infectados, Estados Unidos, con 2,913 ordenadores infectados y Australia, con 2,346 ordenadores infectados.

Stuxnet ataca equipos funcionando con Windows, aprovechando cuatro vulnerabilidades de día cero de dicho sistema, incluyendo CPLINK, y otra empleada por otro gusano denominado Conficker. Su objetivo son sistemas que emplean programas de monitorización y control industrial (SCADA) WinXX/PCS 7 de Siemens.

El gusano se distribuye por medio de memorias USB infectadas, luego contamina otros equipos con WinXX conectados en red. Cuando ha logrado acceder al sistema, Stuxnet emplea contraseñas por defecto para obtener el control.
Siemens aconseja no cambiar las contraseñas originales ya que “podría tener impacto en el funcionamiento de la planta”.

Algo que llama la atención es que el funcionamiento de Stuxnet es poco habitual en ataques de malware, ya que se requieren conocimientos de procesos industriales y deseos de atacar infraestructuras, lo que no posee cualquier programador de virus informáticos.

Otra característica de Stuxnet es que es demasiado grande, ocupa 500 MB aproximadamente y está escrito en distintos lenguajes de programación, incluyendo C y C++, algo que no siempre se ve en este tipo de ataques.
Además, Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Se puede actualizar mediante P2P, lo que permite que esté actualizado al día, aunque se haya desactivado el servidor remoto de control.

Todas estas capacidades seguramente requirieron de un equipo completo de programadores de distintas áreas, así como verificación en sistemas reales de que el malware no bloquearía los PLCs.

Eric Byres, programador con varios años de experiencia en el mantenimiento y reparación de sistemas Siemens, dijo a Wired que escribir este software podría haber requerido meses o años de trabajo, en caso de haberlo realizado una sola persona.

Siemens ha publicado una herramienta de detección y eliminación de Stuxnet, y recomienda contactar con su soporte técnico en caso de detectar una infección, instalar los parches de Microsoft que eliminan las vulnerabilidades
del sistema y prohibir en las instalaciones industriales el uso de memorias USB.

También la compañía BitDefender ha desarrollado una herramienta gratuita para eliminar Stuxnet.

ESPECULACIONES

Un portavoz de Siemens dijo que el gusano Stuxnet se encontró en 15 sistemas, de los cuales cinco eran plantas de fabricación en Alemania. Según Siemens, no se han encontrado infecciones activas y no existen informes de daños causados por el gusano.

Ralph Langner, investigador alemán de seguridad informática, afirma que Stuxnet es un arma diseñada para “disparar un solo tiro”, y que el objetivo deseado por sus desarrolladores fue probablemente alcanzado, aunque admite que sólo son especulaciones. El New York Times eliminó todo rumor o especulación cuando confirmó que se trataba de un troyano desarrollado y financiado por Israel y Estados Unidos con el fin de atacar las centrales  nucleares iraníes.

Tags: , , ,

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Más historias

¿Cómo funciona la normativa para ascensores?

Stepanenko junio 24, 2024 0

Los beneficios de las academias de fútbol en el desarrollo de jóvenes talentos

Stepanenko junio 11, 2024 0

¿Qué beneficios tiene adquirir una refrigeradora nueva?

Stepanenko mayo 29, 2024 0

Te pueden interesar

Cisco advierte sobre una vulnerabilidad crítica que afecta a Smart Software Manager On-Prem

Stepanenko julio 18, 2024 0

¿Qué ventajas tiene el uso de un chat HTML en línea?

Stepanenko julio 18, 2024 0

El grupo APT Void Banshee está explotando la vulnerabilidad MHTML de Microsoft para propagar el stealer Atlantida

Stepanenko julio 16, 2024 0

El fraude publicitario Konfety utiliza más de 250 apps señuelo de Google Play para ocultar gemelos maliciosos

Stepanenko julio 16, 2024 0

El malware DarkGate explota los recursos compartidos de archivos de Samba

Stepanenko julio 12, 2024 0