Stuxnet es un gusano informático malicioso descubierto por primera vez en 2010 y se cree que ha estado en desarrollo desde al menos 2005. Stuxnet apunta a sistemas de control de supervisión y adquisición de datos ( SCADA ) y se cree que es responsable de causar daños sustanciales al programa nuclear de Irán . [2] Aunque ninguno de los países ha admitido abiertamente su responsabilidad, múltiples organizaciones de noticias independientes reconocen que Stuxnet es un arma cibernética construida conjuntamente por Estados Unidos e Israel en un esfuerzo colaborativo conocido como Operación Juegos Olímpicos . [3] [4] [5] El programa, iniciado durante la administración Bush , se amplió rápidamente durante los primeros meses de la presidencia de Barack Obama . [6]
Stuxnet se dirige específicamente a los controladores lógicos programables (PLC), que permiten la automatización de procesos electromecánicos como los utilizados para controlar maquinaria y procesos industriales, incluidas las centrífugas de gas para separar material nuclear. Explotando cuatro fallas de día cero , [7] Stuxnet funciona apuntando a máquinas que utilizan el sistema operativo y las redes de Microsoft Windows , y luego busca el software Siemens Step7. Se informó que Stuxnet comprometió los PLC iraníes, recopilando información sobre sistemas industriales y provocando que las centrifugadoras de rápido giro se destrozaran. [2] El diseño y la arquitectura de Stuxnet no son específicos de un dominio y podría adaptarse como una plataforma para atacar sistemas SCADA y PLC modernos (por ejemplo, en líneas de ensamblaje de fábricas o plantas de energía), la mayoría de los cuales se encuentran en Europa, Japón y el resto del mundo. Estados Unidos. [8] Se informa que Stuxnet arruinó casi una quinta parte de las centrífugas nucleares de Irán . [9] Dirigido a los sistemas de control industrial, el gusano infectó más de 200.000 ordenadores y provocó la degradación física de 1.000 máquinas. [10]
Stuxnet tiene tres módulos: un gusano que ejecuta todas las rutinas relacionadas con la carga útil principal del ataque; un archivo de enlace que ejecuta automáticamente las copias propagadas del gusano; y un componente rootkit responsable de ocultar todos los archivos y procesos maliciosos, para evitar la detección de Stuxnet. [11] Por lo general, se introduce en el entorno de destino a través de una unidad flash USB infectada , atravesando así cualquier espacio de aire . Luego, el gusano se propaga a través de la red, buscando el software Siemens Step7 en las computadoras que controlan un PLC. En ausencia de cualquiera de los criterios, Stuxnet queda inactivo dentro de la computadora. Si se cumplen ambas condiciones, Stuxnet introduce el rootkit infectado en el PLC y en el software Step7, modificando el código y dando comandos inesperados al PLC mientras devuelve un bucle de valores normales del sistema operativo a los usuarios. [12] [13]
Stuxnet, descubierto por Sergey Ulasen de la empresa antivirus bielorrusa VirusBlokAda , se propagó inicialmente a través de Microsoft Windows y tenía como objetivo los sistemas de control industrial de Siemens . Si bien no es la primera vez que los piratas informáticos se han dirigido a sistemas industriales, [14] ni el primer acto intencional de guerra cibernética que se implementa públicamente, es el primer malware descubierto que espía y subvierte sistemas industriales, [15] y el primer para incluir un rootkit de controlador lógico programable (PLC) . [16] [17]
Inicialmente, el gusano se propaga indiscriminadamente, pero incluye una carga útil de malware altamente especializada que está diseñada para apuntar únicamente a los sistemas de adquisición de datos y control de supervisión (SCADA) de Siemens que están configurados para controlar y monitorear procesos industriales específicos. [18] [19] Stuxnet infecta los PLC subvirtiendo la aplicación de software Step-7 que se utiliza para reprogramar estos dispositivos. [20] [21]
Diferentes variantes de Stuxnet apuntaron a cinco organizaciones iraníes, [22] y se sospecha ampliamente que el objetivo probable es la infraestructura de enriquecimiento de uranio en Irán ; [21] [23] [24] Symantec señaló en agosto de 2010 que el 60 por ciento de las computadoras infectadas en todo el mundo estaban en Irán. [25] Siemens declaró que el gusano no causó ningún daño a sus clientes, [15] pero el programa nuclear de Irán , que utiliza equipos de Siemens embargados y adquiridos en secreto, fue dañado por Stuxnet. [26] [27] [28] Kaspersky Lab concluyó que el sofisticado ataque sólo podría haberse llevado a cabo "con el apoyo de un estado-nación ". [29] El investigador jefe de F-Secure, Mikko Hyppönen , cuando se le preguntó si se trataba de un posible apoyo de un Estado-nación, estuvo de acuerdo: "Así es como se vería, sí". [30]
En mayo de 2011, el programa Need To Know de PBS citó una declaración de Gary Samore , Coordinador de la Casa Blanca para el Control de Armas y Armas de Destrucción Masiva, en la que decía: "Estamos contentos de que [los iraníes] estén teniendo problemas con su centrífuga. máquina y que nosotros, Estados Unidos y sus aliados, estamos haciendo todo lo posible para asegurarnos de complicarles las cosas", ofreciendo un "guiño de reconocimiento" de la participación de Estados Unidos en Stuxnet. [31] Según The Daily Telegraph , un showreel que se mostró en una fiesta de retiro del jefe de las Fuerzas de Defensa de Israel (FDI), Gabi Ashkenazi , incluía referencias a Stuxnet como uno de sus éxitos operativos como jefe de personal de las FDI. [32]
El 1 de junio de 2012, un artículo en The New York Times informó que Stuxnet era parte de una operación de inteligencia estadounidense e israelí llamada Operación Juegos Olímpicos , ideada por la NSA bajo el presidente George W. Bush y ejecutada bajo el presidente Barack Obama . [33]
El 24 de julio de 2012, un artículo de Chris Matyszczyk de CNET [34] informó que la Organización de Energía Atómica de Irán envió un correo electrónico al director de investigación de F-Secure, Mikko Hyppönen, para informar sobre una nueva instancia de malware.
El 25 de diciembre de 2012, una agencia de noticias semioficial iraní anunció un ciberataque por parte de Stuxnet, esta vez contra industrias de la zona sur del país. En los últimos meses, el malware se dirigió a una planta de energía y a otras industrias en la provincia de Hormozgan . [35]
Según Eugene Kaspersky , el gusano también infectó una central nuclear en Rusia. Kaspersky señaló, sin embargo, que dado que la central eléctrica no está conectada a la red pública de Internet, el sistema debería permanecer seguro. [36]
El gusano fue identificado por primera vez por la empresa de seguridad VirusBlokAda a mediados de junio de 2010. [20] La publicación del blog del periodista Brian Krebs del 15 de julio de 2010 fue el primer informe ampliamente leído sobre el gusano. [37] [38] El nombre original dado por VirusBlokAda era "Rootkit.Tmphider"; [39] Symantec, sin embargo, lo llamó "W32.Temphid", y luego lo cambió a "W32.Stuxnet". [40] Su nombre actual se deriva de una combinación de algunas palabras clave en el software ("".stub" y "mrxnet.sys"). [41] [42] El motivo del descubrimiento en este momento se atribuye a que el virus se propagó accidentalmente más allá de su objetivo previsto (la planta de Natanz ) debido a un error de programación introducido en una actualización; Esto provocó que el gusano se propagara a la computadora de un ingeniero que había estado conectada a las centrífugas y se propagara aún más cuando el ingeniero regresó a casa y conectó su computadora a Internet. [33]
Los expertos de Kaspersky Lab estimaron al principio que Stuxnet comenzó a propagarse alrededor de marzo o abril de 2010, [43] pero la primera variante del gusano apareció en junio de 2009. [20] El 15 de julio de 2010, el día en que se conoció ampliamente la existencia del gusano, se distribuyó Se realizó un ataque de denegación de servicio en los servidores de dos listas de correo líderes en seguridad de sistemas industriales. Este ataque, de fuente desconocida pero probablemente relacionado con Stuxnet, desactivó una de las listas, interrumpiendo así una importante fuente de información para plantas de energía y fábricas. [38] Por otro lado, investigadores de Symantec han descubierto una versión del virus informático Stuxnet que se utilizó para atacar el programa nuclear de Irán en noviembre de 2007, y que se estaba desarrollando ya en 2005, cuando Irán todavía estaba instalando sus instalaciones de enriquecimiento de uranio. [44]
La segunda variante, con mejoras sustanciales, apareció en marzo de 2010, aparentemente porque sus autores creían que Stuxnet no se estaba propagando lo suficientemente rápido; un tercero, con mejoras menores, apareció en abril de 2010. [38] El gusano contiene un componente con una marca de tiempo de compilación del 3 de febrero de 2010. [45] En el Reino Unido, el 25 de noviembre de 2010, Sky News informó que había recibido información de una fuente anónima de una organización de seguridad informática no identificada que Stuxnet, o una variación del gusano, se había comercializado en el mercado negro . [46]
En 2015, Kaspersky Lab señaló que Equation Group había utilizado dos de los mismos ataques de día cero antes de su uso en Stuxnet, en otro malware llamado fanny.bmp. [47] [48] y comentó que "el tipo similar de uso de ambos exploits juntos en diferentes gusanos informáticos, aproximadamente al mismo tiempo, indica que los desarrolladores de Equation Group y Stuxnet son los mismos o trabajan en estrecha colaboración". [49]
En 2019, los investigadores del Chronicle Juan Andrés Guerrero-Saade y Silas Cutler presentaron evidencia de que al menos cuatro plataformas de malware de actores de amenazas distintas colaboraban para crear las diferentes versiones de Stuxnet. [50] [51] La colaboración se denominó 'GOSSIP GIRL' después de que un grupo de amenazas filtrara diapositivas clasificadas de CSE que incluían a Flame. [52] GOSSIP GIRL es una cooperativa que incluye Equation Group , Flame , Duqu y Flowershop (también conocido como 'Cheshire Cat'). [53] [54] [55]
En 2020, el investigador Facundo Muñoz encontró evidencia que sugiere que Equation Group colaboró con los desarrolladores de Stuxnet en 2009 prestándoles al menos un exploit de día cero [56] y un exploit de 2008 [57] que se estaba utilizando activamente en la naturaleza. por el gusano informático Conficker y los piratas informáticos chinos. [58] En 2017, un grupo de hackers conocido como The Shadow Brokers filtró un enorme tesoro de herramientas pertenecientes a Equation Group, incluidas nuevas versiones de ambos exploits compiladas en 2010, lo que muestra importantes superposiciones de código a medida que se desarrollaron los exploits de Stuxnet y Equation Group. utilizando un conjunto de bibliotecas llamado "Exploit Development Framework" también filtrado por The Shadow Brokers.
Un estudio de la propagación de Stuxnet realizado por Symantec mostró que los principales países afectados en los primeros días de la infección fueron Irán, Indonesia y la India: [59]
Se informó que Irán había fortalecido sus capacidades de guerra cibernética después del ataque de Stuxnet y se sospechaba que había realizado ataques de represalia contra bancos estadounidenses en la Operación Ababil . [60]
A diferencia de la mayoría del malware, Stuxnet causa poco daño a las computadoras y redes que no cumplen con requisitos de configuración específicos; "Los atacantes tuvieron mucho cuidado para asegurarse de que sólo sus objetivos designados fueran alcanzados... Era el trabajo de un tirador". [61] Si bien el gusano es promiscuo, se vuelve inerte si no se encuentra software de Siemens en las computadoras infectadas y contiene medidas de seguridad para evitar que cada computadora infectada propague el gusano a más de otras tres y se borre el 24 de junio de 2012. [38]
Para sus objetivos, Stuxnet contiene, entre otras cosas, código para un ataque de intermediario que falsifica las señales de los sensores de control de procesos industriales para que un sistema infectado no se apague debido a un comportamiento anormal detectado. [38] [61] [62] Tal complejidad es muy inusual para el malware . El gusano consiste en un ataque en capas contra tres sistemas diferentes:
Stuxnet atacó sistemas Windows utilizando cuatro ataques de día cero sin precedentes (más la vulnerabilidad CPLINK y una vulnerabilidad utilizada por el gusano Conficker [63] ). Inicialmente se propaga mediante unidades extraíbles infectadas, como unidades flash USB , [21] [45] que contienen archivos de acceso directo de Windows para iniciar código ejecutable. [64] Luego, el gusano utiliza otros exploits y técnicas, como la llamada a procedimiento remoto (RPC) de igual a igual, para infectar y actualizar otras computadoras dentro de redes privadas que no están conectadas directamente a Internet. [65] [66] [67] La cantidad de exploits de día cero utilizados es inusual, ya que son muy valorados y los creadores de malware no suelen hacer uso (y por lo tanto no hacen visibles simultáneamente) cuatro exploits de día cero diferentes en el mismo gusano. [23] Entre estos exploits se encontraba la ejecución remota de código en una computadora con el uso compartido de impresoras habilitado, [68] y la vulnerabilidad LNK/PIF, [69] en la que la ejecución del archivo se logra cuando se ve un ícono en el Explorador de Windows, eliminando la necesidad de la interacción del usuario. [70] Stuxnet es inusualmente grande, mide medio megabyte, [65] y está escrito en varios lenguajes de programación diferentes (incluidos C y C++ ), lo que también es irregular para el malware. [15] [20] [62] El componente de Windows del malware es promiscuo porque se propaga relativamente rápido e indiscriminadamente. [45]
El malware tiene capacidad de rootkit tanto en modo de usuario como en modo kernel en Windows, [67] y sus controladores de dispositivo han sido firmados digitalmente con las claves privadas de dos certificados de clave pública que fueron robados de empresas conocidas separadas, JMicron y Realtek , ambas ubicadas en el Parque Científico de Hsinchu en Taiwán. [45] [65] La firma del controlador le ayudó a instalar los controladores de rootkit en modo kernel con éxito sin que los usuarios fueran notificados y, por lo tanto, permaneció sin ser detectado durante un período de tiempo relativamente largo. [71] Verisign ha revocado ambos certificados comprometidos .
Se configuraron dos sitios web en Dinamarca y Malasia como servidores de comando y control del malware, lo que permitió actualizarlo y realizar espionaje industrial mediante la carga de información. Posteriormente, su proveedor de servicios DNS redirigió ambos nombres de dominio a Dynadot como parte de un esfuerzo global para desactivar el malware. [67] [38]
Según el investigador Ralph Langner, [72] [73] una vez instalado en un sistema Windows, Stuxnet infecta archivos de proyecto pertenecientes al software de control SCADA WinCC /PCS 7 de Siemens [74] (Paso 7) y subvierte una biblioteca de comunicación clave de WinCC. llamado s7otbxdx.dll
. De este modo se intercepta la comunicación entre el software WinCC que se ejecuta en Windows y los dispositivos PLC Siemens de destino, cuando ambos están conectados mediante un cable de datos. El malware puede modificar el código de los dispositivos PLC de forma inadvertida y, posteriormente, ocultar su presencia al WinCC si el software de control intenta leer un bloque de memoria infectado del sistema PLC. [67]
Además, el malware utilizó un exploit de día cero en el software de base de datos WinCC/SCADA en forma de una contraseña de base de datos codificada. [75]
La carga útil de Stuxnet se dirige únicamente a aquellas configuraciones SCADA que cumplen con los criterios para los que está programado identificar. [38]
Stuxnet requiere que se conecten unidades de frecuencia variable esclavas específicas (unidades convertidoras de frecuencia) al sistema Siemens S7-300 de destino y sus módulos asociados. Sólo ataca aquellos sistemas PLC con unidades de frecuencia variable de dos proveedores específicos: Vacon con sede en Finlandia y Fararo Paya con sede en Irán. [76] Además, monitorea la frecuencia de los motores conectados y solo ataca los sistemas que giran entre 807 Hz y 1210 Hz. Esta es una frecuencia mucho más alta que la que normalmente operan los motores en la mayoría de las aplicaciones industriales, con la notable excepción de las centrífugas de gas . [76] Stuxnet instala malware en el bloque de memoria DB890 del PLC que monitorea el bus de mensajería Profibus del sistema. [67] Cuando se cumplen ciertos criterios, modifica periódicamente la frecuencia a 1.410 Hz y luego a 2 Hz y luego a 1.064 Hz, y así afecta el funcionamiento de los motores conectados al cambiar su velocidad de rotación. [76] También instala un rootkit (el primer caso documentado en esta plataforma) que oculta el malware en el sistema y enmascara los cambios en la velocidad de rotación de los sistemas de monitoreo.
Siemens ha lanzado una herramienta de detección y eliminación de Stuxnet. Siemens recomienda ponerse en contacto con el servicio de atención al cliente si se detecta una infección y aconseja instalar actualizaciones de Microsoft para detectar vulnerabilidades de seguridad y prohibir el uso de unidades flash USB de terceros . [77] Siemens también recomienda actualizar inmediatamente los códigos de acceso mediante contraseña. [78]
La capacidad del gusano para reprogramar PLC externos puede complicar el procedimiento de eliminación. Liam O'Murchu de Symantec advierte que reparar los sistemas Windows puede no resolver completamente la infección; Puede ser necesaria una auditoría exhaustiva de los PLC. A pesar de las especulaciones de que la eliminación incorrecta del gusano podría causar daños, [15] Siemens informa que en los primeros cuatro meses desde su descubrimiento, el malware se eliminó con éxito de los sistemas de 22 clientes sin ningún efecto adverso. [77] [79]
La prevención de incidentes de seguridad en los sistemas de control, [80] como infecciones virales como Stuxnet, es un tema que se está abordando tanto en el sector público como en el privado.
La División Nacional de Seguridad Cibernética (NCSD) del Departamento de Seguridad Nacional de EE. UU. opera el Programa de seguridad del sistema de control (CSSP). [81] El programa opera un equipo especializado de respuesta a emergencias informáticas llamado Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS-CERT), lleva a cabo una conferencia bianual ( ICSJWG ), brinda capacitación, publica prácticas recomendadas y proporciona una herramienta de autoevaluación. Como parte de un plan del Departamento de Seguridad Nacional para mejorar la seguridad informática estadounidense, en 2008, él y el Laboratorio Nacional de Idaho (INL) trabajaron con Siemens para identificar agujeros de seguridad en el ampliamente utilizado Sistema de Control de Procesos 7 (PCS 7) de la compañía y su software Step. 7. En julio de 2008, INL y Siemens anunciaron públicamente fallos en el sistema de control en una conferencia de Chicago; Stuxnet explotó estos agujeros en 2009. [61]
Varias organizaciones industriales [82] [83] y sociedades profesionales [84] [85] han publicado estándares y pautas de mejores prácticas que brindan orientación y orientación a los usuarios finales del sistema de control sobre cómo establecer un programa de gestión de seguridad del sistema de control . La premisa básica que comparten todos estos documentos es que la prevención requiere un enfoque de múltiples niveles, a menudo denominado defensa en profundidad . [86] Las capas incluyen políticas y procedimientos, concientización y capacitación, segmentación de redes, medidas de control de acceso, medidas de seguridad física, fortalecimiento del sistema, por ejemplo, administración de parches y monitoreo del sistema, antivirus y sistema de prevención de intrusiones (IPS). Los estándares y mejores prácticas [ ¿quién? ] también todos [ ¿ síntesis inadecuada? ] recomiendan comenzar con un análisis de riesgos y una evaluación de la seguridad del sistema de control. [87] [88]
Los expertos creen que Stuxnet requirió el mayor y más costoso esfuerzo de desarrollo en la historia del malware. [38] Desarrollar sus numerosas capacidades habría requerido un equipo de programadores altamente capacitados, un conocimiento profundo de los procesos industriales y un interés en atacar la infraestructura industrial. [15] [20] Eric Byres, que tiene años de experiencia manteniendo y solucionando problemas de sistemas Siemens, le dijo a Wired que escribir el código habría tomado muchos meses-hombre, si no años-hombre. [65] Symantec estima que el grupo que desarrolló Stuxnet habría estado formado por entre cinco y treinta personas, y habría tardado seis meses en prepararse. [89] [38] The Guardian , la BBC y The New York Times afirmaron que los expertos (anónimos) que estudian Stuxnet creen que la complejidad del código indica que sólo un estado-nación tendría la capacidad de producirlo. [23] [89] [90] La autodestrucción y otras salvaguardias dentro del código implicaban que un gobierno occidental era responsable, o al menos es responsable de su desarrollo. [38] Sin embargo, el experto en seguridad de software Bruce Schneier inicialmente condenó la cobertura noticiosa de Stuxnet en 2010 como exageración, afirmando que se basaba casi en su totalidad en especulaciones. [91] Pero después de una investigación posterior, Schneier declaró en 2012 que "ahora podemos vincular de manera concluyente a Stuxnet con la estructura centrífuga en el laboratorio de enriquecimiento nuclear de Natanz en Irán". [92]
En enero de 2024, de Volkskrant informó que el ingeniero holandés Erik van Sabben era el saboteador que se había infiltrado en el complejo nuclear subterráneo de la ciudad de Natanz e instalado equipos infectados con Stuxnet. [93]
Ralph Langner, el investigador que identificó que Stuxnet infectaba PLC, [21] especuló públicamente por primera vez en septiembre de 2010 que el malware era de origen israelí y que tenía como objetivo instalaciones nucleares iraníes. [94] Sin embargo, más recientemente, Langner, en una conferencia TED , grabada en febrero de 2011, declaró que: "Mi opinión es que el Mossad está involucrado, pero que la fuerza líder no es Israel. La fuerza líder detrás de Stuxnet es la superpotencia cibernética – sólo hay uno; y ese es Estados Unidos". [95] Kevin Hogan, Director Senior de Respuesta de Seguridad de Symantec, informó que la mayoría de los sistemas infectados estaban en Irán (alrededor del 60%), [96] lo que ha llevado a la especulación de que pudo haber estado apuntando deliberadamente a "infraestructuras de alto valor" en Irán [23] , incluida la central nuclear de Bushehr o la instalación nuclear de Natanz . [65] [97] [98] Langner llamó al malware "un arma de un solo disparo" y dijo que el objetivo previsto probablemente fue alcanzado, [99] aunque admitió que esto era una especulación. [65] Otro investigador alemán y portavoz del Chaos Computer Club , con sede en Alemania , Frank Rieger, fue el primero en especular que Natanz era el objetivo. [38]
Según el periódico israelí Haaretz , en septiembre de 2010 los expertos en Irán y los especialistas en seguridad informática estaban cada vez más convencidos de que Stuxnet estaba destinado a " sabotear la instalación de enriquecimiento de uranio en Natanz, donde la capacidad operativa de la centrífuga había disminuido en el último año en un 30 por ciento". [100] El 23 de noviembre de 2010 se anunció que el enriquecimiento de uranio en Natanz había cesado varias veces debido a una serie de problemas técnicos importantes. [101] Un "grave accidente nuclear" (supuestamente el cierre de algunas de sus centrifugadoras [102] ) ocurrió en el sitio en la primera mitad de 2009, que se especula que obligó a Gholam Reza Aghazadeh , el jefe de la Organización de Energía Atómica de Irán (AEOI), a dimitir. [103] Las estadísticas publicadas por la Federación de Científicos Estadounidenses (FAS) muestran que el número de centrifugadoras de enriquecimiento operativas en Irán disminuyó misteriosamente de aproximadamente 4.700 a aproximadamente 3.900 a partir de la época en que habría ocurrido el incidente nuclear que WikiLeaks mencionó. [104] El Instituto para la Ciencia y la Seguridad Internacional (ISIS) sugiere, en un informe publicado en diciembre de 2010, que Stuxnet es una explicación razonable para el daño aparente [105] en Natanz, y puede haber destruido hasta 1.000 centrifugadoras (10 por ciento ) en algún momento entre noviembre de 2009 y finales de enero de 2010. Los autores concluyen:
Los ataques parecen diseñados para forzar un cambio en la velocidad del rotor de la centrífuga, primero aumentando la velocidad y luego bajándola, probablemente con la intención de inducir vibraciones excesivas o distorsiones que destruirían la centrífuga. Si su objetivo era destruir rápidamente todas las centrifugadoras de la FEP [Planta de Enriquecimiento de Combustible], Stuxnet fracasó. Pero si el objetivo era destruir un número más limitado de centrifugadoras y retrasar el progreso de Irán en el funcionamiento del FEP, al tiempo que dificultaba la detección, es posible que hubiera tenido éxito, al menos temporalmente. [105]
El informe del Instituto para la Ciencia y la Seguridad Internacional (ISIS) señala además que las autoridades iraníes han intentado ocultar el fallo instalando nuevas centrifugadoras a gran escala. [105] [106]
El gusano funcionó primero provocando que una centrífuga IR-1 iraní infectada aumentara de su velocidad de funcionamiento normal de 1.064 hercios a 1.410 hercios durante 15 minutos antes de volver a su frecuencia normal. Veintisiete días después, el gusano volvió a entrar en acción, ralentizando las centrífugas infectadas a unos pocos cientos de hercios durante 50 minutos completos. Las tensiones provocadas por las velocidades excesivas, y luego más lentas, hicieron que los tubos centrífugos de aluminio se expandieran, lo que a menudo obligó a que las partes de las centrífugas entraran en suficiente contacto entre sí como para destruir la máquina. [107]
Según The Washington Post , las cámaras de la Agencia Internacional de Energía Atómica (OIEA) instaladas en las instalaciones de Natanz registraron el repentino desmantelamiento y retirada de aproximadamente 900 a 1.000 centrífugas durante el tiempo que, según se informó, el gusano Stuxnet estuvo activo en la planta. Sin embargo, los técnicos iraníes pudieron reemplazar rápidamente las centrifugadoras y el informe concluyó que el enriquecimiento de uranio probablemente sólo se interrumpió brevemente. [108]
El 15 de febrero de 2011, el Instituto para la Ciencia y la Seguridad Internacional publicó un informe que concluye que:
Suponiendo que Irán actúe con cautela, es poco probable que Stuxnet destruya más centrifugadoras en la planta de Natanz. Es probable que Irán haya limpiado el malware de sus sistemas de control. Para evitar una reinfección, Irán tendrá que tener especial precaución ya que muchas computadoras en Irán contienen Stuxnet. Aunque Stuxnet parece estar diseñado para destruir centrifugadoras en las instalaciones de Natanz, la destrucción no fue total. Además, Stuxnet no redujo la producción de uranio poco enriquecido (UPE) durante 2010. Las cantidades de UPE ciertamente podrían haber sido mayores, y Stuxnet podría ser una parte importante de la razón por la cual no aumentaron significativamente. Sin embargo, quedan preguntas importantes sobre por qué Stuxnet destruyó sólo 1.000 centrifugadoras. Una observación es que destruir centrifugadoras mediante ataques cibernéticos puede ser más difícil de lo que se suele creer. [109]
Associated Press informó que la agencia semioficial de noticias de estudiantes iraníes emitió un comunicado el 24 de septiembre de 2010 afirmando que expertos de la Organización de Energía Atómica de Irán se reunieron la semana anterior para discutir cómo se podría eliminar Stuxnet de sus sistemas. [19] Según analistas, como David Albright , las agencias de inteligencia occidentales habían estado intentando sabotear el programa nuclear iraní durante algún tiempo. [110] [111]
El director de la central nuclear de Bushehr dijo a Reuters que sólo los ordenadores personales del personal de la central habían sido infectados por Stuxnet y el periódico estatal Iran Daily citó a Reza Taghipour , ministro de telecomunicaciones de Irán, diciendo que no había causado "graves daños a los sistemas gubernamentales". [90] El Director del Consejo de Tecnología de la Información del Ministerio de Industrias y Minas de Irán, Mahmud Liaii, ha dicho que: «Se ha lanzado una guerra electrónica contra Irán... Este gusano informático está diseñado para transferir datos sobre las líneas de producción de nuestra plantas industriales a lugares fuera de Irán." [112]
En respuesta a la infección, Irán reunió un equipo para combatirla. Con más de 30.000 direcciones IP afectadas en Irán, un funcionario dijo que la infección se estaba propagando rápidamente en Irán y que el problema se había visto agravado por la capacidad de Stuxnet para mutar. Irán había creado sus propios sistemas para limpiar infecciones y había desaconsejado el uso del antivirus SCADA de Siemens, ya que se sospecha que el antivirus contiene un código incrustado que actualiza Stuxnet en lugar de eliminarlo. [113] [114] [115] [116]
Según Hamid Alipour, subdirector de la Compañía de Tecnología de la Información del gobierno de Irán, "el ataque continúa y se están propagando nuevas versiones de este virus". Informó que su empresa había iniciado el proceso de limpieza en los "centros y organizaciones sensibles" de Irán. [114] "Habíamos previsto que podríamos erradicar el virus en uno o dos meses, pero el virus no es estable, y desde que comenzamos el proceso de limpieza se han estado propagando tres nuevas versiones", dijo a Noticias de la República Islámica. Agencia el 27 de septiembre de 2010. [116]
El 29 de noviembre de 2010, el presidente iraní Mahmoud Ahmadinejad afirmó por primera vez que un virus informático había causado problemas en el controlador que manejaba las centrifugadoras en sus instalaciones de Natanz. Según Reuters, dijo a los periodistas en una conferencia de prensa en Teherán: "Lograron crear problemas para un número limitado de nuestras centrífugas con el software que habían instalado en las piezas electrónicas". [117] [118]
El mismo día, dos científicos nucleares iraníes fueron atacados con coches bomba separados, pero casi simultáneos, cerca de la Universidad Shahid Beheshti en Teherán. Majid Shahriari , físico cuántico, fue asesinado. Fereydoon Abbasi , un alto funcionario del Ministerio de Defensa, resultó gravemente herido. Wired especuló que los asesinatos podrían indicar que quienquiera que estuviera detrás de Stuxnet sentía que no era suficiente para detener el programa nuclear. [119] Ese mismo artículo de Wired sugirió que el gobierno iraní podría haber estado detrás de los asesinatos. [119] En enero de 2010, otro científico nuclear iraní, profesor de física en la Universidad de Teherán , murió en la explosión de una bomba similar. [119] El 11 de enero de 2012, un director de la instalación de enriquecimiento nuclear de Natanz, Mostafa Ahmadi Roshan , murió en un ataque bastante similar al que mató a Shahriari. [120]
Un análisis de la FAS demuestra que la capacidad de enriquecimiento de Irán creció durante 2010. El estudio indicó que las centrifugadoras de Irán parecían estar funcionando un 60% mejor que el año anterior, lo que reduciría significativamente el tiempo de Teherán para producir uranio apto para bombas. El informe de la FAS fue revisado por un funcionario de la OIEA que confirmó el estudio. [121] [122] [123]
Funcionarios europeos y estadounidenses, junto con expertos privados, dijeron a Reuters que los ingenieros iraníes lograron neutralizar y purgar Stuxnet de la maquinaria nuclear de su país. [124]
Dado el crecimiento de la capacidad de enriquecimiento iraní en 2010, es posible que el país haya difundido intencionalmente información errónea para hacer que los creadores de Stuxnet creyeran que el gusano tuvo más éxito en desactivar el programa nuclear iraní de lo que realmente fue. [38]
Se ha especulado que Israel , a través de la Unidad 8200 , [125] [126] es el país detrás de Stuxnet en muchos informes de los medios [89] [102] [127] y por expertos como Richard A. Falkenrath , ex Director Senior de Política y Planes dentro de la Oficina de Seguridad Nacional de EE. UU . [128] [90] Yossi Melman, que cubre inteligencia para el periódico israelí Haaretz y escribió un libro sobre la inteligencia israelí, también sospechaba que Israel estaba involucrado, señalando que Meir Dagan , el ex (hasta 2011) jefe de la agencia nacional de inteligencia Mossad A , se le prorrogó su mandato en 2009 porque se decía que estaba involucrado en proyectos importantes. Además, en 2010 Israel empezó a esperar que Irán tendría un arma nuclear en 2014 o 2015 –al menos tres años más tarde que las estimaciones anteriores– sin necesidad de un ataque militar israelí contra las instalaciones nucleares iraníes; "Parece que saben algo, que tienen más tiempo del que pensaban inicialmente", añadió. [27] [61] Israel no ha comentado públicamente sobre el ataque de Stuxnet, pero en 2010 confirmó que la guerra cibernética ahora estaba entre los pilares de su doctrina de defensa, con una unidad de inteligencia militar creada para perseguir opciones tanto defensivas como ofensivas. [129] [130] [131] Cuando se les preguntó si Israel estaba detrás del virus en el otoño de 2010, algunos funcionarios israelíes [ ¿quién? ] estalló en "amplias sonrisas", alimentando la especulación de que el gobierno de Israel estuvo involucrado en su génesis. [132] El asesor presidencial estadounidense, Gary Samore, también sonrió cuando se mencionó Stuxnet, [61] aunque funcionarios estadounidenses han sugerido que el virus se originó en el extranjero. [132] Según The Telegraph , el periódico israelí Haaretz informó que en su fiesta de retiro se mostró un video que celebraba los éxitos operativos de Gabi Ashkenazi , jefe del Estado Mayor de las Fuerzas de Defensa de Israel (FDI) en retiro, e incluía referencias a Stuxnet, reforzando así las afirmaciones de que el gobierno de Israel Las fuerzas de seguridad fueron las responsables. [133]
En 2009, un año antes de que se descubriera Stuxnet, Scott Borg de la Unidad de Consecuencias Cibernéticas de Estados Unidos (US-CCU) [134] sugirió que Israel podría preferir montar un ciberataque en lugar de un ataque militar contra las instalaciones nucleares de Irán. [111] A finales de 2010, Borg declaró: "Israel ciertamente tiene la capacidad de crear Stuxnet y hay pocas desventajas en un ataque de este tipo porque sería prácticamente imposible demostrar quién lo hizo. Así que una herramienta como Stuxnet es el arma preferida obvia de Israel. ". [135] Irán utiliza centrifugadoras P-1 en Natanz, cuyo diseño fue robado por AQ Khan en 1976 y llevado a Pakistán. Su red de proliferación nuclear en el mercado negro vendió P-1, entre otros clientes, a Irán. Los expertos creen que Israel también adquirió de alguna manera P-1 y probó Stuxnet en las centrifugadoras instaladas en las instalaciones de Dimona que forman parte de su propio programa nuclear . [61] El equipo puede ser de Estados Unidos, que recibió P-1 del antiguo programa nuclear de Libia . [136] [61]
Algunos también han citado varias pistas en el código, como una referencia oculta a la palabra MYRTUS , que se cree que se refiere al nombre latino myrtus del árbol de mirto , que en hebreo se llama hadassah . Hadassah era el nombre de nacimiento de la ex reina judía de Persia, la reina Ester . [137] [138] Sin embargo, puede ser que la referencia "MYRTUS" sea simplemente una referencia mal interpretada a los componentes SCADA conocidos como RTU (Unidades terminales remotas) y que esta referencia sea en realidad "Mis RTU", una característica de administración de SCADA. [139] Además, el número 19790509 aparece una vez en el código y puede referirse a la fecha 9 de mayo de 1979 , el día en que Habib Elghanian , un judío persa, fue ejecutado en Teherán . [67] [140] [141] Otra fecha que aparece en el código es "24 de septiembre de 2007", el día en que el presidente de Irán, Mahmoud Ahmadinejad, habló en la Universidad de Columbia e hizo comentarios cuestionando la validez del Holocausto . [38] Estos datos no son concluyentes, ya que, como señaló Symantec, "...los atacantes tendrían el deseo natural de implicar a otra parte". [67]
También ha habido informes sobre la participación de los Estados Unidos y su colaboración con Israel, [142] [143] y un informe afirma que "hay muy pocas dudas de que [él] jugó un papel en la creación del gusano". [38] Se ha informado que Estados Unidos, bajo uno de sus programas más secretos, iniciado por la administración Bush y acelerado por la administración Obama , [144] ha tratado de destruir el programa nuclear de Irán mediante métodos novedosos como socavar la computadora iraní. sistemas. Un cable diplomático filtrado mostró cómo se recomendó a Estados Unidos que atacara las capacidades nucleares de Irán mediante un "sabotaje encubierto". [145] Un artículo en The New York Times en enero de 2009 atribuyó a un programa entonces no especificado la prevención de un ataque militar israelí contra Irán, donde algunos de los esfuerzos se centraron en formas de desestabilizar las centrifugadoras. [146] Un artículo de Wired afirmó que Stuxnet "se cree que ha sido creado por los Estados Unidos". [147] El historiador holandés Peter Koop especuló que las Operaciones de Acceso a Medida podrían haber desarrollado Stuxnet, posiblemente en colaboración con Israel. [148]
El hecho de que John Bumgarner, ex oficial de inteligencia y miembro de la Unidad de Consecuencias Cibernéticas de los Estados Unidos (US-CCU), publicara un artículo antes de que se descubriera o descifrara Stuxnet, que describía un ataque cibernético estratégico a las centrifugadoras [149] y sugería El hecho de que los ataques cibernéticos estén permitidos contra estados nacionales que operan programas de enriquecimiento de uranio que violan tratados internacionales da cierta credibilidad a estas afirmaciones. Bumgarner señaló que las centrifugadoras utilizadas para procesar combustible para armas nucleares son un objetivo clave para las operaciones de ciberataque y que se puede hacer que se destruyan a sí mismas manipulando sus velocidades de rotación. [150]
En una entrevista de marzo de 2012 con 60 Minutes , el general retirado de la Fuerza Aérea de EE. UU. , Michael Hayden , que se desempeñó como director tanto de la Agencia Central de Inteligencia como de la Agencia de Seguridad Nacional , aunque negó tener conocimiento de quién creó Stuxnet, dijo que creía que había sido "una buena idea". " pero que tenía la desventaja de que había legitimado el uso de armas cibernéticas sofisticadas diseñadas para causar daño físico. Hayden dijo: "Hay quienes pueden echar un vistazo a esto... y tal vez incluso intentar utilizarlo para sus propios fines". En el mismo informe, Sean McGurk, ex funcionario de ciberseguridad del Departamento de Seguridad Nacional, señaló que el código fuente de Stuxnet ahora se puede descargar en línea y modificar para dirigirlo a nuevos sistemas de destino. Hablando de los creadores de Stuxnet, dijo: "Abrieron la caja. Demostraron la capacidad... No es algo que se pueda recuperar". [151]
En abril de 2011, el funcionario del gobierno iraní Gholam Reza Jalali declaró que una investigación había concluido que Estados Unidos e Israel estaban detrás del ataque de Stuxnet. [152] Frank Rieger afirmó que las agencias de inteligencia de tres países europeos coincidieron en que Stuxnet era un esfuerzo conjunto de Estados Unidos e Israel. El código para el inyector de Windows y la carga útil del PLC difieren en estilo, lo que probablemente implica colaboración. Otros expertos creen que una cooperación entre Estados Unidos e Israel es poco probable porque "el nivel de confianza entre los establecimientos militares y de inteligencia de los dos países no es alto". [38]
Un artículo de la revista Wired sobre el general estadounidense Keith B. Alexander afirmaba: "Y él y sus guerreros cibernéticos ya han lanzado su primer ataque. El arma cibernética que llegó a conocerse como Stuxnet fue creada y construida por la NSA en asociación con la CIA y Inteligencia israelí a mediados de la década de 2000." [153]
China , [154] Jordania y Francia son otras posibilidades, y es posible que Siemens también haya participado. [38] [142] Langner especuló que la infección pudo haberse propagado desde unidades USB pertenecientes a contratistas rusos, ya que los objetivos iraníes no eran accesibles a través de Internet. [21] [155] En 2019, se informó que un topo iraní que trabajaba para la inteligencia holandesa a instancias de Israel y la CIA insertó el virus Stuxnet en una unidad flash USB o convenció a otra persona que trabajaba en las instalaciones de Natanz para que lo hiciera. [156] [157]
Sandro Gaycken, de la Universidad Libre de Berlín, argumentó que el ataque a Irán fue una artimaña para distraer la atención del verdadero propósito de Stuxnet. Según él, su amplia difusión en más de 100.000 plantas industriales en todo el mundo sugiere una prueba de campo de un arma cibernética en diferentes culturas de seguridad, probando su preparación, resiliencia y reacciones, toda información muy valiosa para una unidad de ciberguerra. [158]
El Reino Unido ha negado su participación en la creación del gusano. [159]
En julio de 2013, Edward Snowden afirmó que Stuxnet fue desarrollado de forma cooperativa por Estados Unidos e Israel. [160]
Según un informe de Reuters, la NSA también intentó sabotear el programa nuclear de Corea del Norte utilizando una versión de Stuxnet. Según se informa, la operación se lanzó en conjunto con el ataque dirigido a las centrifugadoras iraníes en 2009-2010. El programa nuclear norcoreano comparte muchas similitudes con el iraní, ya que ambos fueron desarrollados con tecnología transferida por el científico nuclear paquistaní AQ Khan . Sin embargo, el esfuerzo fracasó porque el extremo secreto y aislamiento de Corea del Norte hicieron imposible introducir Stuxnet en la instalación nuclear. [161]
En 2018, Gholamreza Jalali, jefe de la Organización Nacional de Defensa Pasiva (NPDO) de Irán, afirmó que su país defendió un ataque similar a Stuxnet dirigido a la infraestructura de telecomunicaciones del país. Desde entonces, el ministro de Telecomunicaciones de Irán, Mohammad-Javad Azari Jahromi, acusó a Israel de orquestar el ataque. Irán planea demandar a Israel a través de la Corte Internacional de Justicia (CIJ) y también está dispuesto a lanzar un ataque de represalia si Israel no desiste. [162]
Un artículo de noviembre de 2013 [163] en la revista Foreign Policy afirma la existencia de un ataque anterior, mucho más sofisticado, al complejo de centrífugas de Natanz, centrado en aumentar la tasa de fallos de las centrifugadoras durante un largo período de tiempo induciendo sigilosamente incidentes de sobrepresión de gas de hexafluoruro de uranio. Este malware sólo podía propagarse si se instalaba físicamente, probablemente mediante equipos de campo previamente contaminados utilizados por los contratistas que trabajaban en los sistemas de control de Siemens dentro del complejo. No está claro si este intento de ataque tuvo éxito, pero es indicativo de que fue seguido por un ataque diferente, más simple y más convencional.
El 1 de septiembre de 2011 se encontró un nuevo gusano que se cree que está relacionado con Stuxnet. El Laboratorio de Criptografía y Seguridad de Sistemas (CrySyS) de la Universidad de Tecnología y Economía de Budapest analizó el malware y llamó a la amenaza Duqu . [164] [165] Symantec , basándose en este informe, continuó el análisis de la amenaza, calificándola de "casi idéntica a Stuxnet, pero con un propósito completamente diferente", y publicó un documento técnico detallado. [166] El componente principal utilizado en Duqu está diseñado para capturar información [62] como pulsaciones de teclas e información del sistema. Los datos extraídos pueden usarse para permitir un futuro ataque similar al Stuxnet. El 28 de diciembre de 2011, el director de investigación y análisis global de Kaspersky Lab habló con Reuters sobre resultados de investigaciones recientes que muestran que las plataformas Stuxnet y Duqu se originaron en 2007 y se las conoce como Tilded debido a la ~d al comienzo del archivo. nombres. También se descubrió en esta investigación la posibilidad de tres variantes más basadas en la plataforma Tilded. [167]
En mayo de 2012, se encontró el nuevo malware "Flame", que se cree que está relacionado con Stuxnet. [168] Los investigadores llamaron al programa "Flame" por el nombre de uno de sus módulos. [168] Después de analizar el código de Flame, Kaspersky Lab dijo que existe una fuerte relación entre Flame y Stuxnet. Una versión anterior de Stuxnet contenía un código para propagar infecciones a través de unidades USB que es casi idéntico a un módulo Flame que explota la misma vulnerabilidad. [169]
Desde 2010, ha habido una amplia cobertura mediática internacional sobre Stuxnet y sus consecuencias. En sus primeros comentarios, The Economist señaló que Stuxnet era "un nuevo tipo de ciberataque". [170] El 8 de julio de 2011, Wired publicó un artículo que detalla cómo los expertos en seguridad de redes pudieron descifrar los orígenes de Stuxnet. En ese artículo, Kim Zetter afirmó que la "relación costo-beneficio de Stuxnet aún está en duda". [171] Los comentaristas posteriores tendieron a centrarse en la importancia estratégica de Stuxnet como arma cibernética. Siguiendo el artículo de Wired, Holger Stark llamó a Stuxnet la "primera arma digital de importancia geopolítica, que podría cambiar la forma en que se libran las guerras". [172] Mientras tanto, Eddie Walsh se refirió a Stuxnet como "la amenaza asimétrica de alto nivel más nueva del mundo". [173] En última instancia, algunos afirman que la "amplia cobertura mediática brindada a Stuxnet sólo ha servido como publicidad para las vulnerabilidades utilizadas por varios grupos cibercriminales". [174] Si bien ese puede ser el caso, la cobertura de los medios también ha aumentado la conciencia sobre las amenazas a la seguridad cibernética.
El documental Zero Days de Alex Gibney de 2016 cubre el fenómeno en torno a Stuxnet. [175] Una vulnerabilidad de día cero (también conocida como día 0) es una vulnerabilidad de software informático que es desconocida o no abordada por quienes deberían estar interesados en mitigar la vulnerabilidad (incluido el proveedor del software de destino). Hasta que se mitigue la vulnerabilidad, los piratas informáticos pueden explotarla para afectar negativamente a programas informáticos, datos, ordenadores adicionales o una red.
En 2016, se reveló que el general James Cartwright , exjefe del Comando Estratégico de Estados Unidos, había filtrado información relacionada con Stuxnet. Más tarde se declaró culpable de mentir a los agentes del FBI que llevaban a cabo una investigación sobre la filtración. [176] [177] El 17 de enero de 2017, el presidente Obama le concedió un indulto total en este caso, anulando así su condena.
Además del ya mencionado documental de Alex Gibney Zero Days (2016), que analiza el malware y la guerra cibernética que lo rodea, otros trabajos que hacen referencia a Stuxnet incluyen: