• Stuxnet: Operação de Cyber-espionagem e Sabotagem Ainda Levanta Muitas Discussões Entre Profissionais de Segurança

    Stuxnet, o worm altamente nefasto que desencadeou uma operação de cyber-espionagem e sabotagem, continua a ser um dos temas de discussão favoritos para os pesquisadores de segurança em todos os lugares do mundo. Considerado a primeira arma cibernética de grande projeção e que deixou em alerta máximo os profissionais de segurança quando surgiu no ano de 2010, Stuxnet teve como alvo o programa nuclear iraniano, usando um mecanismo sutil e muito bem elaborado para atingir seus intuitos. Uma das razões para revisitar o assunto Stuxnet, é a publicação de 11 de novembro de 2014 do livro "Countdown to Zero Day", feita pelo jornalista Kim Zetter. Sendo assim, os pesquisadores ficaram muito animados sobre o livro, que inclui informações novas e não reveladas anteriormente sobre a paraga Stuxnet. Algumas das informações são realmente baseadas em entrevistas realizadas por Kim Zetter, com membros da Kaspersky Lab do Global Research and Analysis Team. Para complementar o lançamento do livro, foi decidido também publicar novas informações técnicas sobre alguns aspectos até então desconhecidos em relação ao ataque Stuxnet.


    Direcionamento do Stuxnet e Repetição de Ataques à Organizações

    Mesmo que o Stuxnet tenha sido descoberto há mais de quatro anos, e venha sendo estudado em detalhes com a publicação de vários trabalhos, ainda não se sabe ao certo qual alvo foi originalmente visado pelo worm. Dessa forma, dá para concluir que é mais provável que o Stuxnet tenha sido destinado a afetar os motores que impulsionam centrífugas de enriquecimento de urânio. Mas, onde estavam essas centrífugas, qual a localização delas - em Natanz ou, talvez, em Fordow? Ou quem sabe ainda, em algum outro lugar? A história da mais antiga versão conhecida do worm - "Stuxnet 0.5" - está fora do escopo deste post; sendo assim, haverá uma concentração nas variantes mais conhecidas criadas em 2009 e 2010. (As diferenças entre eles são discutidas em uma publicação de 2012, intitulada: "Back to Stuxnet: The Missing Link". Em fevereiro de 2011, a Symantec publicou uma nova versão do seu relatório W32.Stuxnet Dossier. Depois de analisar mais de 3.000 arquivos de worm, a Symantec havia estabelecido que o Stuxnet foi distribuído por cinco organizações, algumas das quais foram atacadas duas vezes - tanto em 2009 quanto em 2010.


    Nesse contexto, os especialistas da Symantec foram capazes de extrair essa informação com precisão, devido a uma característica curiosa do worm. Ao infectar um novo computador, Stuxnet salva as informações sobre o nome do sistema infectado, domínio do Windows e endereço IP. Essas informações são armazenadas no registo interno de log e é aumentada com novos dados, quando a próxima vítima está infectada pelas atividades dele. Como resultado, as informações sobre o caminho percorrido pelo worm podem ser encontradas dentro de amostras do próprio Stuxnet e usadas para identificar a partir de qual computador que a infecção começou a se espalhar.


    Coleta de Arquivos do Stuxnet

    Enquanto a Symantec não divulgou os nomes das organizações em seu relatório, esta informação é essencial para uma compreensão adequada de como o worm foi distribuído. Importante mencionar que foram coletados arquivos do Stuxnet durante dois anos. Depois de analisar mais de 2.000 desses arquivos, os pesquisadores foram capazes de identificar as organizações que foram as primeiras vítimas das variantes diferentes do worm, tanto em 2009 quanto em 2010. Talvez uma análise de sua atividade possa explicar por quê eles se tornaram "patients zero" (o original, ou zero, vítimas).


    "Domain A"

    A versão Stuxnet de 2009 (estará sendo feita referência a ele como Stuxnet.A), foi criado em 22 de junho de 2009. Esta informação está presente no corpo do worm - na forma de data de compilação do módulo principal. Apenas algumas horas depois disso, o worm infectou seu primeiro computador. Tal curto intervalo de tempo entre a criação do arquivo e a infecção do primeiro computador quase tem preponderência completa, sem falar na infecção via drive USB - o stick USB simplesmente não pode ter saído "das mãos" dos autores do worm para a organização sob ataque em um período de tempo tão curto. A máquina infectada tinha o nome "Kaspersky" e era parte do domínio "ISIE".


    Stuxnet, suas Referências à Organizações e à Sociedades Iranianas

    Quando um dos pesquisadores viu pela primeira vez o nome do computador, ficou muito surpreso. O nome poderia significar que a infecção inicial teria afetado algum servidor nomeado após a solução anti-malware ter sido instalada. No entanto, o nome do domínio local, ISIE, forneceu informação considerável, que pode sim ajudar a determinar o verdadeiro nome da organização. Partindo do princípio de que a vítima foi localizada no Irã, houve fortes suspeitas de que ela poderia ser a sociedade iraniana de Engenheiros Industriais (ISIE) ou uma organização afiliada a ele, o instituto iraniano de Engenharia Industrial (IIIE). Mas poderia ter sido alguma outra ISIE localizada em algum lugar diferente do Irã? Não há respostas. Levando em conta que a solução anti-malware instalada tinha sido usada no computador infectado, considerou-se a possibilidade de que ISIE pode até ser uma empresa russa.

    Além disso, demorou muito tempo para ter conhecimento do que a organização realmente era, mas no final, foi possível identificá-la com um alto grau de certeza. Ele é chamado de Foolad Technic Engineering Co (FIECO). É uma companhia iraniana, com sede em Isfahan. A empresa cria sistemas automatizados para instalações industriais iranianas (principalmente os produtores de aço e energia), e conta com mais de 300 funcionários. Sendo assim, fica muito claro que a empresa tem dados, desenhos e planos para muitas das maiores empresas industriais do Irã em sua rede. A partir dessas informações, deve-se ter em mente que, além de motores que foram afetados, Stuxnet inclui uma funcionalidade poderosa de espionagem e coleta de informações sobre projetos STEP 7, encontrados em sistemas infectados.

    Relevante destacar que no ano de 2010, a mesma organização foi atacada novamente - desta vez, foi utilizada a terceira versão do Stuxnet, que foi criada exatamente em 14 de abril de 2010. Em 26 de abril do mesmo ano, o mesmo computador que sofreu comprometimento em 2009 - "KASPERSKY.ISIE" - foi infectado novamente pelas ações nefastas do worm. Esta persistência por parte dos criadores do Stuxnet, pode indicar que eles consideravam a Foolad Technic Engineering Co. não só como um dos caminhos mais curtos para o destino final do worm, mas como um objeto extremamente interessante no que diz respeito à recolha de dados sobre a indústria do Irã.


    "Domain B"

    Mais uma organização foi atacada várias vezes - uma vez em 2009 e duas vezes em 2010. Essencialmente, cada uma das três variantes do Stuxnet foi utilizada para infectar estas empresas. Portanto, neste caso, os atacantes foram ainda mais persistentes do que no caso da Foolad Technical Engineering Co. Além do mais, deve notar-se que esta vítima que foi o "patient zero" da epidemia global de 2010, disseminada pelo worm. A infecção desta organização no decorrer do segundo ataque (que ocorrei em março de 2010) levou à maior distribuição de Stuxnet - pela primeira vez no Irã, em seguida, em todo o mundo, causando alardes e muitas preocupações. E curiosamente, quando essa mesma organização foi infectada no mês de junho de 2009 e em maio de 2010, o worm dificilmente se espalhou em sua totalidade. Além do nome do computador e o nome de domínio, Stuxnet registrou número IP da máquina. O fato de que o endereço tenha mudado em 29 de março, pode indicar, ainda que indiretamente, que era um laptop que ficava conectado à rede local da empresa, de forma esporádica. Mas o que a empresa é? O nome de domínio - "behpajooh" - imediatamente deu a resposta: Behpajooh Co. Elec & Comp. Engeneering.

    Da mesma forma que a Foolad Technic, esta empresa está localizada em Isfahan e também desenvolve sistemas de automação industrial. Claramente, os pesquisadores também estão lidando com experts em sistemas SCADA/PLC. Durante a coleta de informações sobre Behpajooh Co, os pesquisadores conseguiram descobrir mais uma informação curiosa - um artigo de 2006 publicado em um jornal de Dubai (Emirados Árabes Unidos), chamado Khaleej Times. De acordo com o artigo, uma empresa de Dubai foi fortemente acusada de contrabando de componentes de bombas no Irã. O destinatário iraniano da expedição também foi nomeado - o que seria "Bejpajooh Inc" localizado em Isfahan. Então, surge a grande dúvida: por que o worm Stuxnet se espalhou mais ativamente como resultado da infecção "Behpajooh" que ocorreu em março de 2010? Ao que tudo indica, a resposta está na segunda organização na cadeia de infecções que partiram de "Behpajooh".


    "Domain С"

    No dia 7 de julho de 2009, o Stuxnet atingiu ainda um outro alvo. Com isso, ele foi projetado para iniciar o caminho para a sua última missão a que se destina. O computador da vítima foi batizado de "applserver" (servidor de aplicação?), localizado sob o domínio "NEDA".


    Saiba Mais:

    [1] Secure List http://securelist.com/analysis/publi...-zero-victims/

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L