domingo, 24 de octubre de 2010

Éxitos y fracasos de Stuxnet (II)

Stuxnet ha marcado un antes y un después en la mitología del malware, acaparando titulares y una buena parte de las últimas noticias mediáticas sobre malware. Seguimos repasando algunas de sus virtudes y errores y comentaremos la evolución de algunas muestras en VirusTotal.

Objetivos concretos

Otra de sus virtudes es que dentro de su código contenía la contraseña por defecto "2WSXcder" para la base de datos central del producto SCADA WinCC de Siemens. El troyano conseguía acceso de administración de la base de datos. Los sistemas "Supervisory Control and Data Acquisition (SCADA)" son programas críticos de producción industrial: toman datos muy sensibles de sensores de una fábrica, por ejemplo, y los envían a un sistema central para ser controlados. Se usan en grandes plantas de tratamiento de aguas, control eléctrico, de tráfico... Por tanto, se trata de un malware destinado a un perfil muy diferente del usuario "medio". En otras palabras, malware para al espionaje industrial. Se encontró sobre todo en Indonesia, India, Irán y China. Esto, unido a las cualidades anteriormente mencionadas, permitía llegar a su objetivo de forma silenciosa y eficaz.

Todas estas cualidades hacen pensar que el troyano ha sido concebido no solo por una mafia organizada como la que sostiene la industria antivirus actual, sino que va más allá: forma parte de un entramado que parece tocar altas esferas. Descubrir cuatro vulnerabilidades potentes y desconocidas en Windows y crear exploits eficaces para ellas requiere tiempo y mucho conocimiento... o en su defecto, del dinero para comprarlo. El supuesto robo físico de certificados, el objetivo Iraní... los involucrados han ido mucho más allá de la simple creación de laboratorio y buscaban algo más que limpiar las cuentas de unos cuantos infectados.

El punto débil

El punto débil (siempre desde el punto de vista de Stuxnet y sus creadores) ha sido solo uno: ¿por qué un gusano que se autorreplica indiscriminadamente? ¿Qué necesidad de infectar más allá de los sistemas objetivo? Esto ha facilitado su difusión, sin duda, pero también que escape del círculo cerrado que se supone eran sus objetivos primarios y, por tanto, que sea conocido, reconocido y detectado por las casas antivirus. No había ninguna necesidad de salir de los entornos SCADA, puesto que su "payload" solo era válido contra estas infraestructuras; en una máquina de usuario, resulta relativamente "inocuo".

La "fama" del troyano también ha permitido que las vulnerabilidades hayan sido eliminadas rápidamente: todavía queda una de elevación de privilegios por parchear, pero Microsoft ha solucionado tres de ellas en los últimos tres meses. Además ha provocado que los certificados sean revocados... en resumen, que su salida a los medios eche a perder el trabajo y Stuxnet no siga siendo tan eficaz. El troyano debería, o bien no replicarse indiscriminadamente, o bien controlar sobre qué sistemas lo hace para evitar los que escapen a su objetivo.

En la siguiente entrega veremos algunos datos curiosos sobre este
troyano que hemos recopilado en Virustotal.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Éxitos y fracasos de Stuxnet (I)
http://www.hispasec.com/unaaldia/4382

No hay comentarios:

Publicar un comentario en la entrada