Todo lo que aprendió Stuxnet fue descubrir cuáles eran las configuraciones de los sistemas infectados. Si se ajustaba a la factura, lanzó su ataque. El ataque se centró más en el conocimiento interno.
Quiero desesperadamente escribir sobre lo que realmente hizo Stuxnet y cómo fue al respecto. Toda la historia es como una novela de cambio de página. Pero debido al alcance de esta pregunta, hablemos solo sobre cómo evolucionó Stuxnet.
Existe este hermoso artículo sobre cómo los detectives digitales descifraron Stuxnet, el malware más amenazante de la historia | Nivel de amenaza | Wired.com, que no habla exactamente sobre cómo Stuxnet evolucionó en palabras directas, pero sí cuenta muy bien cómo se propagó Stuxnet y lo que realmente hizo.
- ¿Se puede activar el software antivirus sin conexión?
- ¿Por qué es importante la piratería ética?
- ¿Cómo se configuran las "puertas traseras" en el software de cifrado?
- ¿Cómo se comparan las técnicas de seguridad de las capacidades de SELinux, seccomp y POSIX?
- ¿Qué es más seguro para los no expertos interesados en el cifrado en Linux: una partición encriptada o carpetas encriptadas, y si es esto último, usando qué aplicaciones?
Lo que sigue es un breve resumen de la parte del artículo que responde a esta pregunta. Aunque largo, sin embargo, recomendaré leer el artículo en lugar de lo que he escrito. Es una de esas gemas con cable que te encantaría coleccionar. Es como Die Hard 4, pero cierto.
Los archivos del controlador de Stuxnet utilizaron certificados firmados válidos robados de RealTek y JMicron Technology para engañar al sistema. Stuxnet en realidad no dañó ningún sistema, a menos que los sistemas fueran software Simatic WinCC Step7, un sistema de control fabricado por Siemens que se usaba para programar controladores que accionaban motores, válvulas e interruptores. Simplemente robó algunos datos de configuración y diseño que parecían ser más como un espionaje corporal desde una vista de águila.
Stuxnet era enorme para sus estándares: 500k bytes. En general, un malware ocupa 10-15k bytes de memoria. Un malware tan grande generalmente contenía una imagen. Pero, Stuxnet era diferente. Contenía un arsenal de comandos y datos. Por lo que parece, te darás cuenta de que estaba muy organizado. Fue sofisticado .
En general, las funciones de Win se cargan desde archivos DLL para su ejecución. Los malwares que usan este método cavan su propio destino, ya que esto es lo que los delata a los softwares antivirus. Stuxnet, por otro lado, almacenó su archivo DLL malicioso descifrado solo en la memoria (no en los discos duros, donde generalmente se almacenan las DLL) como una especie de archivo virtual. Luego, Stuxnet reprogramó la API de Win para que cada vez que un programa intentara cargar una función desde una biblioteca, la extrajera de la memoria en lugar del disco duro. Básicamente, estaba creando una nueva generación de archivos fantasma que no existía en el disco duro y, por lo tanto, era casi imposible de encontrar.
Cada vez que Stuxnet infectaba una máquina, informaba la información relevante a dos dominios: http://www.mypremierfutbol.com y Todaysfutbol.com alojados en Malasia y Dinamarca. La información incluía las direcciones IP internas y externas de la máquina, el nombre de la computadora, su sistema operativo y versión y si el software Siemens Simatic WinCC Step7 estaba instalado en la máquina. Los servidores de comando y control permiten a los atacantes actualizar Stuxnet en máquinas infectadas con nuevas funciones o incluso instalar más archivos maliciosos en los sistemas.
Los investigadores de Symantec crearon un sumidero donde recibieron este tráfico hostil al indicar a los proveedores de DNS que redirigieran todo el tráfico a este sumidero. Fue entonces cuando surgió un patrón extraño y los investigadores se dieron cuenta de que probablemente se trata de un ataque de la ciberrarmia de un gobierno, con toda probabilidad, la ciberarmia de los Estados Unidos, si es así.
Stuxnet fue una especie de rey cuando se trataba de explotar las hazañas del Día Cero. Stuxnet aprovechó una vulnerabilidad de lnk , una vulnerabilidad de cola de impresión, vulnerabilidades en el archivo del teclado de Windows y los archivos del programador de tareas para elevar sus privilegios y controlar completamente el sistema. Además, Stuxnet también explotó un ataque de contraseña estática que Siemens había codificado en Step7 para obtener acceso e infectar el servidor de bases de datos alojado con Step7.
La belleza de todo esto fue que los atacantes querían que Stuxnet se extendiera a toda costa, pero de una manera muy limitada. Ninguno de los exploits aprovechó Internet, se extendió a través de LAN y USB.
De todos modos, si Stuxnet descubrió que el sistema infectado tenía instalado Step7, descifró y cargó el archivo DLL. Esta DLL se hizo pasar por un archivo legítimo que sirvió como repositorio común para las funciones utilizadas por diferentes partes del software Step7.
Stuxnet interceptó los comandos que iban a los PLC (Controladores lógicos programables) y los reemplazó con sus propios comandos maliciosos. También ocultó lo que estaba sucediendo en los PLC al interceptar los informes de estado enviados desde los PLC a la máquina Step7 y eliminar todos los signos de los comandos maliciosos. Por primera vez, un código en realidad estaba destruyendo una máquina física. Fue entonces cuando los investigadores se dieron cuenta de que el caso de Stuxnet no era de espionaje sino de sabotaje.
Después del ganador del Oscar, Argo, ¡creo que es hora de Stuxnet!
