O que é Stuxnet e como isso funciona?

O que é Stuxnet?

Ajuda a entender o que é Stuxnet compreender quem criou o vírus Stuxnet e em que contexto isso aconteceu. As forças de inteligência israelenses são creditadas como responsáveis por formular o rootkit do Stuxnet, que foi implantado em usinas nucleares iranianas.

Israel e Irã são oponentes claros e notórios nos conflitos do Oriente Médio. Receando os efeitos dos desenvolvimentos atômicos do Irã sobre sua integridade territorial, Israel provavelmente recorreu aos EUA (embora nenhum dos serviços de inteligência confirme ou negue tais desenvolvimentos) para neutralizar o enriquecimento de urânio do Irã de maneira pacífica: paralisando suas máquinas sorrateiramente com um software malicioso.

O Stuxnet surgiu efetivamente em 2010 como o malware mais custoso e danoso de seu gênero. Ele explora vulnerabilidades zero-day no Windows e dissemina-se por infraestruturas estratégicas, apesar de não se ter notícia de muitas infecções no contexto de computadores domésticos ou sistemas industriais não estratégicos.

Stuxnet é um virus?

Apesar de muitas vezes ser classificado como vírus, essa é a uma designação imprecisa. No mundo dos malwares, Stuxnet é considerado um worm de computador. Ele foi e é bastante usado em ataques que exploram vulnerabilidade de Zero Day (ou dia zero).

Embora tanto worms quanto vírus sejam projetados para causar interrupções e danos em sistemas computacionais, vírus não conseguem ser ativados ou se replicarem sem um arquivo ou programa auxiliar. Já os worms são ameaças mais sofisticadas, pois têm esse tipo de autonomia sem um estímulo externo.

Como funciona o Stuxnet?

O Stuxnet é uma ameaça virtual de desenho complexo. Ao mesmo tempo que combina diferentes aspectos de diversos tipos de ataques cibernéticos, ele também traz em seu projeto limitações específicas para contaminar e agir no sistema de alvos selecionados, limitando seu escopo de atuação.

Parte de seu efeito consiste num ataque MITM (man-in-the-middle), que simula sinais de sensor. Esse aspecto faz com que os sistemas contaminados não acusem comportamento anormal e, portanto, não desliguem.

Direcionado a instalações nucleares, o Stuxnet provavelmente foi inoculado no maquinário alvo por meio de uma infiltração por USB. Essa presunção decorre do fato de que esse tipo de planta industrial militar costumar ser isolado da rede comum de computadores e mantida com grande cautela física.

Projetado em diferentes linguagens de programação, o programa é bastante longo, mas se dissemina rapidamente. Seus alvos são três camadas de sistema:

• O sistema operacional Windows
• As aplicações industriais Siemens PC7, WinCC e STEP7
• Controlador lógico programável Siemens S7

No nível do Windows OS, o worm conseguia se infiltrar por meio de vulnerabilidades zero-day. O malware acessava tanto os níveis de usuário quanto de kernel, com drivers usando dois certificados públicos, mantendo-se invisível por longos períodos enquanto acessava kernels sem o conhecimento dos usuários do sistema.

Uma vez dentro do sistema Windows, o malware passou a infectar as aplicações de software da Siemens, danificando suas comunicações e modificando o código de dispositivos PLC.

Bloqueando os monitores PLC, o worm é capaz de alterar a frequência do sistema e a velocidade de operação da operação de motores das centrífugas nucleares. Na prática, o programa fazia as centrífugas se moverem rápido demais por muito tempo, simultaneamente emitindo falsos sinais de que o sistema funcionava normalmente.

História do Stuxnet

Conforme antecipado, a História do Stuxnet está ligada ao esforço em intervir num programa de desenvolvimento nuclear de maneira não violenta.

Essa operação conjunta de desenvolvimento foi tocada, reportadamente, pelos serviços de segurança de Israel e dos EUA a partir de 2005. Entretanto, o programa somente se tornou público em 2010, por ocorrência de um ataque DDoS.

Um esclarecimento relevante a quem se pergunta o que é DDoS, basta saber que o ataque foi desferido na lista de e-mails de segurança de uma instalação industrial. O golpe bloqueou fontes de informação para fábricas e plantas de energia, inviabilizando o funcionamento do sistema em questão.

O legado do Stuxnet

O Stuxnet é um marco na História das campanhas de infecção cibernética. Cinco anos depois de desenvolvido, ele somente veio a público por meio de analistas de segurança digital da Bielo-Rússia em 2010.

Embora tenha sido projetado para atuar na infraestrutura das centrífugas nucleares iranianas e com prazo de expiração de 2012, o programa vazou além desses limites originais. Dessa forma, deixou importantes sucessores, que tentaram replicar sua discrição em multiplicar-se e atuar, nas mãos tanto de Estados nacionais, como tipos de spyware diversos, quanto de hackers maliciosos privados, como tipos de ransomware sofisticados.

Duqu

Descoberto em 2011, o Duqu replica o funcionamento do código do Stuxnet em larga medida. Entretanto, o propósito do Duqu era diferente daquele do worm original.

O Duqu foi projetado para servir como spyware, e não para sabotar estruturas físicas. Servindo-se da infecção e multiplicação silenciosas do software original, essa ameaça visava a capturar dados sobre pressionamento de teclas e outros dados de sistema.

Flame

A maneira de se propagar do Flame é francamente similar à do Stuxnet. Isso inclui a capacidade de explorar as falhas do Windows e o fato de se espalhar por dispositivos em rede a partir de um USB contaminado.

Descoberto em 2012, esse spyware também era direcionado a sistemas iranianos e de outros países do Oriente Médio. Seus alvos contumazes são instituições de governo e ensino e suas capacidades de captura de dados afetam desde o pressionamento de teclas de máquinas até conversas por teleconferência.

Triton

O Triton é altamente belicoso contra estruturas industriais. O programa foi detectado como um agente contaminante de uma planta petroquímica na Arábia Saudita.

Petya

Usando uma lógica de ramsonware, o Petya ganhou notoriedade em 2017 quando devastou o sistema bancário ucraniano. Esse programa não divide o código com o Stuxnet, mas também se consolidou como um importante agressor virtual numa campanha organizada de contágio. Com essa capacidade, é até hoje uma referência de arma virtual capaz de lesar milhares de indivíduos e uma infraestrutura virtual nacional.

Fatos interessantes sobre ataques Stuxnet

Alguns aspectos relevantes sobre ataques Stuxnet ajudam a dar uma dimensão de seu aspecto único na História dos malwares:

• O Stuxnet é capaz de autoatualizar-se usando comunicação P2P e conexão online.
• Seu rootkit é instalado usando uma assinatura digital roubada
• O worm Stuxnet inspirou filmes como Zero Days, Hacker e outros

Como se proteger de Stuxnet

As circunstâncias de criação e difusão do Stuxnet são bastante particulares. O malware não foi desenvolvido para afetar dispositivos domésticos, por exemplo. Ainda assim, seu comportamento e consequências podem nos inspirar alguns conhecimentos no campo da cibersegurança.

• Uma primeira atitude é a restrição ao uso de equipamentos USB numa máquina, especialmente se ela estiver conectada em rede (como no contexto corporativo, por exemplo). Idealmente, dispositivos USB de uso privado ou controlado, de propriedade de uma empresa, têm exclusividade de acesso a tais máquinas.
• Além disso, o uso de comunicação criptografada também é pertinente para manter a segurança virtual. A maneira mais confiável e popular de fazer isso é contratando um bom serviço de VPN, que, além disso, também oferece vantagens no campo da privacidade digital.
• O uso de firewall para isolar redes de outras conexões externas também cumpre papel de segurança relevante. Esse tipo de atitude previne a difusão de variados malwares.
• Por fim, programas de cibersegurança que contem com ferramentas de remoção de malware e spyware não são infalíveis, mas podem fazer uma diferença incrível para manter a integridade de um sistema. Varreduras habituais de antivírus são úteis para prevenir; essas outras ferramentas, para remediar.