Han transcurrido más de cuatro años desde el descubrimiento de uno de los programas maliciosos más sofisticados y peligrosos, el gusano Stuxnet, considerado como la primera arma cibernética. Sin embargo, son muchos los misterios que circulan alrededor de su historia. Una de las principales preguntas es: ¿cuáles fueron exactamente los objetivos de la operación Stuxnet? Ahora, después de analizar más de 2,000 archivos de Stuxnet obtenidos a lo largo de dos años, los investigadores de Kaspersky Lab pueden identificar a las primeras víctimas del gusano.
Inicialmente, los investigadores de seguridad no tenían duda alguna de que el ataque era de carácter selectivo. El código del gusano Stuxnet lucía profesional y exclusivo; hubo evidencia de que se utilizaron vulnerabilidades de día-cero extremadamente caras. Sin embargo, aún no se sabía qué clase de organizaciones habían sido atacadas primero y cómo el malware llegó a las centrifugadoras de enriquecimiento de uranio en las instalaciones ultra secretas.
Este nuevo análisis aclara un poco las preguntas presentadas anteriormente. Las cinco organizaciones que fueron atacadas inicialmente trabajan en el área de Sistemas de Control Industrial (ICS por sus siglas en inglés) en Irán, desarrollando ICS o abasteciendo materiales y componentes. La quinta organización en ser atacada es la que más intriga causa, porque aparte de generar productos para la automatización industrial, también produce centrifugadoras para el enriquecimiento de uranio. Este es precisamente el tipo de equipo que se cree era el objetivo principal de Stuxnet.
Al parecer, los atacantes esperaban que estas organizaciones intercambiaran datos con sus clientes, tal como infraestructuras de enriquecimiento de uranio, lo cual haría posible la introducción del malware a las instalaciones destinadas. El resultado sugiere que el plan fue un éxito rotundo.
“El analizar las actividades profesionales de las primeras organizaciones que fueron víctimas de Stuxnet, nos ayuda a entender mejor cómo se planeó toda la operación. Al final del día, este es un ejemplo de un vector de ataque a la cadena de suministro, donde el malware es depositado en la organización seleccionada de manera indirecta a través de las redes de los socios con los que la organización blanco podía tener contacto”, dijo Alexander Gostev, experto en seguridad de Kaspersky Lab.
Kaspersky Lab hizo otro descubrimiento interesante: el gusano Stuxnet no se propagó únicamente por medio de las memorias USB infectadas que se conectaban a las PCs. Esta fue la teoría inicial, la cual explicaba cómo el malware se infiltraba a un lugar sin conexión directa a Internet. Sin embargo, los datos reunidos al analizar el primer ataque, mostraron que la primera muestra del gusano (Stuxnet) se había compilado horas antes de su aparición en una PC en la primera organización atacada.
Esta apretada cadena de sucesos hace difícil imaginar que un atacante compiló la muestra, la pasó a una memoria USB y la instaló en la organización blanco en tan sólo unas horas. Es razonable asumir que en este caso en particular, las personas detrás de Stuxnet utilizaron otras técnicas en lugar de una infección mediante memorias USB.
La información técnica más reciente acerca de algunos aspectos desconocidos del ataque Stuxnet está disponible en Securelist y en un nuevo libro – “Countdown to Zero Day” – del periodista Kim Zetter. El libro incluye información no revelada anteriormente sobre Stuxnet; parte de esta información se basa en las entrevistas con los miembros del equipo de Análisis e Investigación Global de Kaspersky Lab.