0 
0 O que é Stuxnet?
Stuxnet é um poderoso worm de computador projetado pela inteligência dos EUA e de Israel para desativar uma parte fundamental do programa nuclear iraniano. Destinado a uma instalação com falha de ar, ele se espalhou inesperadamente para sistemas de computador externos, levantando uma série de questões sobre seu design e propósito.
O Stuxnet explorou vários Windows anteriormente desconhecidos Essa descrição provavelmente deve deixar claro que o Stuxnet era parte de uma operação de sabotagem de alto nível travada por estados-nação contra seus adversários.
Quem criou o Stuxnet?
Agora é amplamente aceito que o Stuxnet foi criado pelas agências de inteligência dos Estados Unidos e de Israel. O Stuxnet foi identificado pela primeira vez pela comunidade infosec em 2010, mas o desenvolvimento provavelmente começou em 2005. Os governos dos EUA e de Israel pretendiam que o Stuxnet fosse uma ferramenta para inviabilizar, ou pelo menos atrasar, o programa iraniano para desenvolver armas nucleares. As administrações Bush e Obama acreditavam que se o Irã estivesse prestes a desenvolver armas atômicas, Israel lançaria ataques aéreos contra instalações nucleares iranianas em um movimento que poderia desencadear uma guerra regional. A Operação Jogos Olímpicos foi vista como uma alternativa não violenta. Embora não estivesse claro que tal ataque cibernético à infraestrutura física fosse possível, houve uma reunião dramática na Sala de Situação da Casa Branca no final da presidência de Bush, durante a qual pedaços de uma centrífuga de teste destruída foram espalhados em uma mesa de conferência. Foi nesse momento que os EUA deram o aval para liberar o malware .
O programa classificado para desenvolver o worm recebeu o codinome “Operação Jogos Olímpicos “; foi iniciado sob o presidente George W. Bush e continuou sob o presidente Obama. Embora nenhum dos governos tenha reconhecido oficialmente o desenvolvimento do Stuxnet, um vídeo de 2011 criado para comemorar a aposentadoria do chefe das Forças de Defesa de Israel, Gabi Ashkenazi , listou o Stuxnet como um dos sucessos sob sua supervisão .
Embora os engenheiros individuais por trás do Stuxnet não tenham sido identificados, sabemos que eles eram muito habilidosos e que havia muitos deles. Roel Schouwenberg, da Kaspersky Lab, estimou que uma equipe de dez codificadores levou de dois a três anos para criar o worm em sua forma final.
Vários outros worms com capacidades de infecção semelhantes ao Stuxnet, incluindo aqueles apelidados de Duqu e Flame , foram identificados na natureza, embora seus propósitos sejam bem diferentes dos do Stuxnet. Sua semelhança com o Stuxnet leva os especialistas a acreditar que são produtos da mesma loja de desenvolvimento, que aparentemente ainda está ativa.
O que o Stuxnet fez?
O Stuxnet foi projetado para destruir as centrífugas que o Irã estava usando para enriquecer urânio como parte de seu programa nuclear. A maior parte do urânio que ocorre na natureza é o isótopo U-238; no entanto, o material cindível usado em uma usina ou arma nuclear precisa ser feito do U-235, um pouco mais leve. Uma centrífuga é usada para girar o urânio rápido o suficiente para separar os diferentes isótopos por peso através da força centrífuga. Essas centrífugas são extremamente delicadas e não é incomum que sejam danificadas durante a operação normal.
Quando o Stuxnet infecta um computador, ele verifica se esse computador está conectado a modelos específicos de controladores lógicos programáveis
Como o Stuxnet funcionou?
O Stuxnet ataca todas as camadas de sua infraestrutura alvo: Windows, o software Siemens rodando no Windows que controla os PLCs e o software embutido nos próprios PLCs. Ele foi projetado para ser entregue por meio de uma unidade removível como um pendrive – a instalação de Natanz onde o enriquecimento de urânio estava ocorrendo era conhecida por ser air-gapped, com seus sistemas não conectados à Internet – mas também para se espalhar rápida e indiscriminadamente de máquina para máquina em uma rede interna.
Stuxnet inclui habilidades de rootkit no modo usuário e kernel. Para instalar o rootkit no modo kernel, ele usa drivers de dispositivo assinados digitalmente que usam certificados de chave privada roubados de dois fabricantes de dispositivos taiwaneses conhecidos.
Uma vez no controle dos PLCs, o Stuxnet variou as velocidades de rotação das centrífugas enquanto elas estavam em operação de forma a danificá-las e deixá-las inoperantes em pouco tempo.
Que vulnerabilidade o Stuxnet explorou?
Para infectar os PCs Windows nas instalações de Natanz, o Stuxnet explorou nada menos que quatro bugs de dia zero — uma falha de atalho do Windows, um bug no spooler de impressão e duas vulnerabilidades de escalonamento de privilégio — junto com uma falha de dia zero no os PLCs da Siemens e um buraco antigo já usado no ataque ao Conficker . O grande número de vulnerabilidades exploradas é incomum, pois normalmente os dias zero são rapidamente corrigidos após um ataque e, portanto, um hacker não deseja revelar tantas em um único ataque.
Em que idioma o Stuxnet foi escrito?
Embora os pesquisadores de segurança não tenham acesso à base de código do Stuxnet, eles puderam aprender muito estudando-a e determinaram que ela foi escrita em várias linguagens , incluindo C, C++ e provavelmente várias outras linguagens orientadas a objetos . Isso também é incomum para malware e é um sinal do nível de sofisticação envolvido em sua criação.
O Stuxnet foi bem sucedido?
O vírus Stuxnet conseguiu seu objetivo de interromper o programa nuclear iraniano; um analista estimou que atrasou o programa em pelo menos dois anos. Os primeiros forasteiros a notar os efeitos do verme foram inspetores da Agência Internacional de Energia Atômica (AIEA), que tiveram acesso às instalações de Natanz. Parte do trabalho da AIEA era inspecionar centrífugas danificadas que estavam sendo removidas da instalação para se certificar de que não estavam sendo usadas para contrabandear urânio para alguma outra planta que não estava no radar da comunidade internacional. Como observado acima, é típico que as centrífugas sejam danificadas como parte do processo de enriquecimento de urânio; em uma instalação na escala de Natanz, você poderia esperar que cerca de 800 centrífugas por ano fossem retiradas de operação. Mas em 2010, a AIEA começou a notar um número incomumente alto de centrífugas danificadas, com um inspetor estimando que quase 2.000 ficaram inoperantes. Na época, é claro, ninguém fazia ideia de que um malware de computador estava causando isso.
Como o Stuxnet foi descoberto?
O Stuxnet foi descoberto porque, inesperadamente, se espalhou para além das instalações de Natanz. Como observado, Natanz ficou sem ar, e não está claro como o Stuxnet saiu. Muitos nos EUA acreditavam que a disseminação era resultado de modificações de código feitas pelos israelenses; Disse-se que o então vice-presidente Biden estava particularmente chateado com isso . Também é possível que tenha escapado graças a práticas de segurança ruins por parte dos iranianos em Natanz – poderia ter sido algo tão simples quanto alguém levar um laptop de trabalho para casa e conectá-lo à Internet. Graças à natureza sofisticada e extremamente agressiva do malware, ele começou a se espalhar para outros computadores.
Stuxnet logo se tornou conhecido pela comunidade de segurança graças a uma chamada para o suporte técnico. Um escritório no Irã (que não faz parte do programa nuclear) estava passando por reinicializações misteriosas e telas azuis da morte, que estavam afetando até computadores com novas instalações de sistema operacional. O especialista em segurança no local, incapaz de descobrir a causa, entrou em contato com um amigo dele, um bielorrusso chamado Sergey Ulasen, que trabalhava para o fornecedor de antivírus VirusBlokAda. Ulasen estava em uma festa de casamento, mas passou a noite ao telefone com seu amigo iraniano tentando descobrir a causa do problema. Ulasen e sua equipe conseguiram isolar o malware e perceberam quantos dias-zero ele estava explorando e o que eles estavam enfrentando. Eles começaram o processo de compartilhar suas descobertas com a comunidade de segurança mais ampla.
Liam O’Murchu, que é o diretor do grupo de Tecnologia e Resposta de Segurança da Symantec e fez parte da equipe que desvendou o Stuxnet pela primeira vez, diz que o Stuxnet era “de longe o pedaço de código mais complexo que analisamos – em um liga completamente diferente de qualquer coisa que já vimos antes.” E enquanto você pode encontrar muitos sites que afirmam ter o código Stuxnet disponível para download, O’Murchu diz que você não deve acreditar neles: ele enfatizou ao CSOque o código-fonte original do worm, conforme escrito por codificadores que trabalham para a inteligência dos EUA e de Israel, não foi divulgado ou vazado e não pode ser extraído dos binários que estão soltos na natureza. (O código para um driver, uma parte muito pequena do pacote geral, foi reconstruído por meio de engenharia reversa, mas isso não é o mesmo que ter o código original.)
No entanto, ele explicou que muito sobre código pode ser entendido examinando o binário em ação e fazendo engenharia reversa. Por exemplo, ele diz, “foi bastante óbvio desde a primeira vez que analisamos este aplicativo que ele estava procurando por algum equipamento Siemens”. Eventualmente, após três a seis meses de engenharia reversa , “ conseguimos determinar, eu diria, 99% de tudo o que acontece no código”, disse O’Murchu.
E foi uma análise completa do código que acabou revelando o propósito do malware. “Podemos ver no código que ele estava procurando oito ou dez matrizes de 168 conversores de frequência cada”, diz O’Murchu. “Você pode ler on-line a documentação da Associação Internacional de Energia Atômica sobre como inspecionar uma instalação de enriquecimento de urânio, e nessa documentação eles especificam exatamente o que você veria na instalação de urânio – quantos conversores de frequência haverá, quantas centrífugas haverá . Eles seriam organizados em oito matrizes e haveria 168 centrífugas em cada matriz. Isso é exatamente o que estávamos vendo no código.”
“Foi muito emocionante termos feito esse avanço”, acrescentou. “Mas então percebemos no que estávamos nos metendo – provavelmente uma operação de espionagem internacional – e isso foi bastante assustador.” A Symantec divulgou essas informações em setembro de 2010; analistas que ficaram sabendo da observação da AIEA de centrífugas iranianas danificadas começaram a entender o que estava acontecendo.
O Stuxnet ainda existe?
O Stuxnet não desapareceu, mas não é uma grande ameaça à segurança cibernética hoje. Na verdade, embora o Stuxnet tenha ganhado muitas manchetes devido às suas capacidades dramáticas e origens de capa e adaga, nunca foi uma grande ameaça para ninguém além das instalações de Natanz que eram seu alvo original. Se o seu computador está infectado com Stuxnet e você não está conectado a uma centrífuga usada para enriquecimento de urânio, o pior cenário é que você pode ver reinicializações e telas azuis da morte, como o escritório iraniano que trouxe o malware à atenção do mundo, mas fora isso, pouco ou nenhum mal lhe acontecerá .
Como prevenir o Stuxnet
Dito isso, você provavelmente não quer que seus sistemas sejam infectados por um poderoso malware desenvolvido por agências de inteligência dos EUA e de Israel. Felizmente, as vulnerabilidades de dia zero que o Stuxnet originalmente explorou foram corrigidas há muito tempo. Contanto que você esteja praticando o básico de uma boa higiene cibernética, mantendo seu sistema operacional e software de segurança atualizados, você não precisa se preocupar muito. Lembre-se, o Stuxnet afeta os PLCs, portanto, você também deve manter qualquer tecnologia operacional o mais segura possível.
Por que o Stuxnet é importante para a segurança cibernética?
Se há alguma ameaça vinda do Stuxnet, é aquela que emana de seus descendentes. Como observamos acima, existem outras famílias de malware que parecem ter funcionalidades derivadas do Stuxnet; estes podem ser da mesma agência de inteligência, ou podem representar hackers autônomos que conseguiram fazer engenharia reversa de parte do poder do Stuxnet. Os pesquisadores de segurança ainda estão desenvolvendo o Stuxnet para descobrir novas técnicas de ataque .
Mas além de tecnologias específicas, o Stuxnet é significativo porque representou a primeira intrusão amplamente reconhecida de código de computador no mundo do conflito internacional, uma ideia que anteriormente estava no domínio da ficção científica cyberpunk. Na década desde então, particularmente no conflito Rússia-Ucrânia , os ataques cibernéticos passaram a ser aceitos como parte do arsenal de guerra.
FONTE: CSO ONLINE
