Car-tech

Worm Stuxnet Industrial foram escritos há mais de um ano

Stuxnet: Computer worm opens new era of warfare

Stuxnet: Computer worm opens new era of warfare
Anonim

Chamado de Stuxnet, o worm era desconhecido até meados de julho, quando foi identificado por investigadores com o VirusBlockAda, um fornecedor de segurança com sede em Minsk, na Bielorrússia. O worm é notável não só por sua sofisticação técnica, mas também pelo fato de ter como alvo os computadores do sistema de controle industrial projetados para operar fábricas e usinas de energia.

Agora, pesquisadores da Symantec dizem ter identificado uma versão inicial do worm que foi criado em junho de 2009, e que o software malicioso foi então muito mais sofisticado no início de 2010.

[Leitura adicional: Como remover malware do seu PC Windows]

Esta versão anterior do Stuxnet age da mesma forma que a encarnação atual - tenta se conectar com sistemas de gerenciamento Siemens SCADA (controle de supervisão e aquisição de dados) e roubar dados - mas não usa algumas das técnicas mais notáveis ​​do worm mais novo para evitar a detecção de antivírus e instalar-se em sistemas Windows. Esses recursos foram provavelmente adicionados alguns meses antes de o último worm ser detectado pela primeira vez, disse Roel Schouwenberg, pesquisador do fabricante de antivírus Kaspersky Lab. "Este é sem dúvida o ataque mais sofisticado que vimos até agora", disse ele.

Depois que o Stuxnet foi criado, seus autores adicionaram um novo software que permitia que ele se espalhasse entre dispositivos USB praticamente sem intervenção da vítima. E eles também conseguiram de alguma forma colocar as mãos nas chaves de criptografia pertencentes às empresas de chips Realtek e JMicron e assinar digitalmente o malware, para que os scanners antivírus tivessem mais dificuldade em detectá-lo.

Realtek e JMicron têm escritórios na Hsinchu Science Park, em Hsinchu, Taiwan, e Schouwenberg acreditam que alguém pode ter roubado as chaves ao acessar fisicamente computadores nas duas empresas.

Especialistas em segurança dizem que esses ataques estão ocorrendo há anos, mas só recentemente começaram a ganhar atenção, depois que o Google revelou que havia sido alvo de um ataque conhecido como Aurora

Tanto a Aurora quanto o Stuxnet aproveitam as falhas de "dia zero" não corrigidas nos produtos da Microsoft. Mas o Stuxnet é tecnicamente mais notável que o ataque do Google, disse Schouwenberg. "Aurora teve um dia zero, mas foi um dia zero contra o IE6", disse ele. "Aqui você tem uma vulnerabilidade que é eficaz contra todas as versões do Windows desde o Windows 2000".

Na segunda-feira, a Microsoft divulgou um patch para a vulnerabilidade do Windows que o Stuxnet usa para se espalhar de sistema para sistema. A Microsoft lançou a atualização assim que o código de ataque do Stuxnet começou a ser usado em ataques mais virulentos.

Embora o Stuxnet pudesse ter sido usado por um falsário para roubar segredos industriais - dados de fábrica sobre como fazer tacos de golfe, por exemplo - Schouwenberg suspeita que um Estado-nação esteja por trás dos ataques.

Até o momento, a Siemens diz que quatro de seus clientes foram infectados pelo worm. Mas todos esses ataques afetaram os sistemas de engenharia, em vez de qualquer coisa no chão de fábrica. Embora a primeira versão do worm tenha sido escrita em junho de 2009, não está claro se essa versão foi usada em um ataque do mundo real. Schouwenberg acredita que o primeiro ataque poderia ter sido em julho de 2009. O primeiro ataque confirmado que a Symantec conhece é de janeiro de 2010, disse Vincent Weafer, vice-presidente de tecnologia de segurança e resposta da Symantec.

A maioria dos sistemas infectados está no Irã, ele acrescentou, embora a Índia, a Indonésia e o Paquistão também estejam sendo atingidos. Isso por si só é altamente incomum, disse Weaver. "É a primeira vez em 20 anos que me lembro do Irã se mostrando tão fortemente."

Robert McMillan cobre a segurança informática e tecnologia geral de notícias de última hora para

O Serviço de Notícias IDG

. Siga Robert no Twitter em @bobmcmillan. O endereço de e-mail de Robert é [email protected]