• Microsoft Corrige Falha Explorada pelo Stuxnet

    Entre as vulnerabilidades corrigidas pela Microsoft no Patch Tuesday deste mês, consta uma que, supostamente, havia sido corrigida de volta em 2010. A Windows Shell Shortcut Icon Loading Vulnerability (CVE-2010-2568), foi uma das quatro falhas utilizados pelos atacantes que liberaram o malware Stuxnet contra o programa nuclear iraniano. No início de janeiro de 2015, o pesquisador Michael Heerklotz revelou detalhes de uma vulnerabilidade crítica no sistema operacional Microsoft Windows. A vulnerabilidade demonstrava, que um patch de segurança lançado pela Microsoft em agosto de 2010, de fato, não corrigiu a falha abordada no CVE-2010- 2568.


    Além dos atacantes responsáveis pelo Stuxnet, a falha .LNK também tem sido explorada pelos crackers do Equation Group, provavelmente depois de encontrar uma maneira de contornar o patch inicial. Dessa forma, pesquisadores da HP publicaram um relatório mais detalhado sobre a falha. Os ataques desencadeados pela Stuxnet foram considerados como os ataques mais sofisticados já realizados. Exatamente desta forma é que pode ser resumido o worm Stuxnet, um perigoso vírus para computadores cujas origens são desconhecidas, mas especula-se fortemente que tenha sido obra de algum estado-nação. Esta praga não tem o intuito de roubar dados bancários ou muito menos de exibir anúncios. Na verdade, ela ataca sistemas usados no controle de equipamentos industriais, e teria chegado a infectar alguns sistemas usados em instalações nucleares do Irã e da Índia. Para conseguir esse intuito, o worm utilizou falhas graves e antes desconhecidas no Windows, impedindo que qualquer proteção fosse capaz de dar um freio em suas atividades. Os pesquisadores de segurança também descobriram que ele também é bem difícil de ser removido.


    Detecção e Criação do Worm

    O worm Stuxnet foi detectado em junho de 2010, mas muitos especialistas afirmam que essa versão do vírus foi criada em março. Ela ganhou notoriedade por forçar a Microsoft a lançar uma correção de emergência no início de agosto do mesmo ano. A Microsoft na época, havia informado que o Stuxnet – em sua versão de março - tirava proveito de um total de 4 falhas desconhecidas e que duas delas permaneciam sem correção. A segunda falha foi corrigida no pacote mensal de setembro. Mas a Microsoft também afirmou que a primeira versão do Stuxnet foi criada em janeiro de 2009. Houve ainda uma falha no processamento em atalhos, falha esta que foi corrigida em agosto, e que estaria sendo usada pelo Stuxnet desde março porque a versão inicial teria fracassado em atingir os alvos desejados. Os principais alvos do vírus são sistemas de controle de automação e monitoramento industrial, conhecidos pela sigla SCADA.

    O worm é capaz de infectar projetos de programação na linguagem Step 7, que são usados em sistemas desse tipo, que são desenvolvidos pela Siemens. Esse comportamento estaria levando o vírus a reinfectar alguns computadores. No entanto, segundo a Siemens, os equipamentos atacados pelo worm Stuxnet não são certificados para serem usados em usinas nucleares. Além disso, não se sabe se o Irã teria desconsiderado essa recomendação e usado um equipamento do gênero. Na sequência, o país afirmou que a praga teria infectado 30 mil computadores. A Siemens afirmou que tomou conhecimento de apenas 12 complexos industriais que teriam sido infectados. A empresa confirmou que o vírus teve a capacidade de interferir com sistemas industriais "de forma específica e em uma combinação específica de automação e configuração", além de roubar dados, mas que esse comportamento não foi verificado na teoria e na prática, porque seria preciso conhecer o uso específico do controlador industrial para determinar os efeitos que a modificação ocasionaria.


    Guerra Cibernética

    Em julho do ano de 2009, uma reportagem da agência Reuters informou que Israel estaria investindo em uma verdadeira guerra cibernética. Na ocasião, um especialista em ciberguerra do exército norte-americano, Scott Borg, comentou que um vírus poderia ser criado para travar ou danificar os controles de usinas nucleares e que um pen drive infectado seria suficiente para isso. Coincidência ou não, seria essa a mesma forma de ataque usada pelo woem Stuxnet. Além disso, dados da Kaspersky indicam que a Índia é o país com mais atividade do Stuxnet, seguido da Indonésia e do Irã. A construtora russa de usinas nucleares Atomstroyexport, que trabalha na usina em Bushehr, cujos funcionários foram infectados, também trabalha na usina indiana de Kudankulam, o que poderia explicar a disseminação do vírus da Índia para o Irã.


    Nivel de Sofisticação do Stuxnet

    A sofisticação do Stuxnet, que usa diversas falhas sem correção para atacar e se manter nos sistemas, nunca foi vista em outro código malicioso de qualquer natureza. Não há dúvida de que houve envolvimento de algum grupo poderoso e com grandes interesses em sua criação. O envolvimento de um governo é tido como quase certo.
    Segundo as empresas fornecedoras de antivírus, o Stuxnet tenta limitar sua ação. Ele só infecta computadores que possuem uma placa de rede específica e tenta impedir sua propagação para mais de três computadores e por mais de três semanas. Além disso, os especialistas especulam que os criadores do Stuxnet não queriam que ele tivesse se disseminado tanto.


    Stuxnet Teria um Irmão Gêmeo

    Faz cinco anos desde a descoberta do worm Stuxnet, mas novas revelações continuam a impressionar a comunidade de segurança cibernética em relação a esta praga. E a mais recente das revelações é bem assustadora: o Stuxnet tinha um irmão gêmeo, com um poder tão nefasto quanto o dele. Um relatório detalhado publicado em 2013 pela Foreing Policy conta a origem da primeira variação do Stuxnet, uma versão mais sofisticada e potencialmente mais poderosa do worm que infectou instalações nucleares iranianas a partir de 2007. Como o worm que ficou conhecido anos mais tarde, no ano de 2010, o gêmeo do Stuxnet tinha como alvo as centrífugas na usina de enriquecimento de Urânio em Natanz, mas ele fazia isso de uma maneira muito mais clandestina. Este gêmeo do Stuxnet bloqueava a saída de gás das centrífugas, fazendo a pressão subir e assim, danificando o equipamento. O ataque era mascarado ao deixar rodando em looping 21 segundos de valores nos sensores de sistema, de modo que engenheiros não percebiam que havia algo errado.


    Abordagem Ardilosa e Sofisticada que Impedia Detecção Imediata

    Até então, acreditava-se que o Stuxnet simplesmente tinha como alvo as centrífugas e fazia com que elas girassem rápido demais até serem danificadas. No entanto, a nova descoberta mostra uma abordagem muito mais sofisticada. Mesmo que a variação anterior do worm pudesse fazer as centrífugas apresentarem algum tipo de defeito, essa usava um método mais clandestino para fazer com que elas quebrassem em outro momento e não durante o ataque, evitando assim que houvesse a detecção. Após todos esses anos, ainda não está claro o motivo de terem usado tamanha força no ataque. Vale ressaltar que as diferenças gritantes entre as duas versões apontam para mudanças de prioridades que, possivelmente, foram acompanhadas por mudanças em acionistas. Em outras palavras, as posses dos atacantes ficaram maiores. Além de tudo, muitas questões ainda não foram respondidas em relação ao Stuxnet, especialmente quem criou o worm de características tão nefastas. Tudo indica que Israel e Estados Unidos seriam as mentes responsáveis pela criação dele. O Stuxnet conseguiu se espalhar pelo mundo e até infectou usinas nucleares na Rússia, mas os efeitos mais duradouros dele dizem muito mais sobre o futuro das guerras do que qualquer outra coisa: "Ao longo do caminho, uma coisa ficou bem clara: armas cibernéticas funcionam. E diferentemente das suas alternativas analógicas, elas não colocam forças militares em ameaça, elas produzem menos danos colaterais, elas podem ser implantadas silenciosamente, além de serem muito baratas. O conteúdo desta caixa de pandora tem implicações muito além do Irã. Eles conseguiram fazer a guerra analógica parecer algo brutal, algo do século 20".


    Guerras Declaradas no Espaço Cibernético

    De fato, as atividades do Stuxnet ajudaram que todos pudéssemos perceber que uma guerra cibernética não é algo muito distante, muito menos uma fantasia futurista. As autoridades agora realizam ataques cibernéticos simulados regularmente, para descobrirem formas de responder caso um worm destrutivo (como Stuxnet) ameace a infraestrutura de um país. A descoberta do gêmeo nefasto do Stuxnet faz uma coisa se tornar assustadoramente verdadeira. Essas armas já estão por aí, escondendo-se na escuridão. Quando elas atacam (quando acordam, são ligadas, ou se fazem ser descobertas), só é possível torcer para não sermos o alvo final dessas coisas. Em resumo, o Stuxnet é considerado uma ferramenta de enorme importância dentro do que chamamos de guerra do mundo cibernético ou simplesmente "Guerra Cibernética", onde diversas empresas do segmento de tecnologia passam a fazer projeções virtuais na modalidade de "guerra", ou seja, se destaca quem conseguir um maior índice de destruição nos meios eletrônicos, seja invadindo computadores e redes ou atacando os conglomerados de sistemas de informação de grandes empresas.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=18071

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L