‘Malware’ Stuxnet foi desenvolvido para destruir usina nuclear iraniana?
O sofware malicioso (malware) Stuxnet, infectou sistemas de computadores no mundo todo. Os especialistas em segurança cibernética dizem que ele é uma arma de destruição fabricada para destruir um objeto específico. Um especialista sugeriu que esse sofware malicioso foi criado para destruir a usina nuclear iraniana de Bushehr.
Os especialistas em segurança cibernética, disseram que eles descobriram a primeira super arma cibernética designada para destruir um alvo real, um alvo fora do mundo cibernético – uma fábrica, uma refinaria, ou talvez uma usina nuclear.
O programa auto replicante (worm), chamado Stuxnet, tem sido objeto de intenso estudo, desde a sua detecção, em junho. Quanto mais se sabe a respeito, maior é o medo sobre as suas capacidades e propósitos. Alguns peritos em segurança cibernética, agora dizem que a chegada do Stuxnet anuncia algo incrivelmente novo: uma arma cibernética criada para sair da esfera cibernética e ir para o mundo físico – para destruir alguma coisa.
Pelo menos um especialista que estudou extensivamente o software malicioso, ou malware, sugere que o Stuxnet já pode ter atacado o seu objetivo – e que pode ter sido a usina nuclear iraniana de Bushehr, que grande parte do mundo condena como sendo uma ameaça atômica.
O aparecimento do Stuxnet criou uma onda de espanto entre os especialistas de segurança informática. O malware é muito grande, muito codificado, muito complexo para ser compreendido imediatamente. Ele tem em seu bojo, incríveis truques novos, como a tomada de controle de um sistema de computador sem o usuário tomar qualquer ação ou clicar em qualquer botão, apenas inserindo um pendrive infectado.
Especialistas dizem que houve um gasto enorme de tempo, dinheiro e talento em engenharia de software para identificar e explorar essas vulnerabilidades em sistemas de software de controle industrial .
Diferentemente da maioria dos malwares, o Stuxnet não se destina a ajudar alguém a ganhar dinheiro ou roubar dados confidenciais. Os especialistas em controle de sistemas industriais concluiram, após quase quatro meses gastos em engenharia reversa com o Stuxnet, que o mundo enfrenta uma nova espécie de malware, que poderá se tornar um modelo para os invasores que pretendem lançar ataques digitais em alvos físicos, reais, em todo o mundo . E para isso, não é preciso ter ligação à Internet.
“Até poucos dias atrás, as pessoas não acreditam que um ataque direcionado como esse era possível”, disse Ralph Langner, um pesquisador em segurança do cibernética alemão, em uma entrevista. Ele foi escalado para apresentar seus resultados em uma conferência de especialistas em segurança industrial terça-feira em Rockville, Md. “O Stuxnet representa um futuro em que as pessoas, com recursos apropriados, serão capazes de comprar um ataque como este no mercado negro. Esta agora é uma preocupação válida.”
O amanhecer gradual da finalidade do Stuxnet
É uma compreensão que surgiu apenas gradualmente. O Stuxnet veio à tona em junho, e em julho foi identificado como um malware super sofisticado, provavelmente criado por um grupo trabalhando para um Estado, dizem os especialistas de segurança cibernética. Seu nome advém de alguns dos nomes dos arquivos do malware. É o primeiro malware conhecido por atacar e se infiltrar no Controle de Supervisão E Aquisição de Dados (SCADA), software usado para controlar fábricas de materiais químicos e fábricas em geral, assim como centrais elétricas e sistemas de transmissão em todo o mundo. Isto, os especialistas descobriram imediatamente.
Mas qual foi o motivo dos responsáveis pela sua criação? O Stuxnet foi criado com o objetivo de roubar segredos industriais – pressão, temperatura, válvulas, ou outras configurações e comunicar os dados através da Internet para os ladrões cibernéticos ?
Em agosto, pesquisadores encontraram algo mais preocupante: o Stuxnet parecia ser capaz de assumir o controle dos sistemas automatizados de controle das fábricas que havia infectado – e fazer tudo o que foi programado para fazer com eles. Isso é maldoso e perigoso.
Mas o malware é ainda pior. Por causa da engenharia reversa, que despedaça o código do Stuxnet, os especialistas em segurança cibernética dos EUA confirmam o que o Sr. Langner, o pesquisador alemão, disse: o Stuxnet é essencialmente um míssil militar cibernético de precisão, lançado no ano passado para procurar e destruir um alvo real de grande importância mundial – um alvo ainda desconhecido.
“Stuxnet é um ataque cibernético que visa à destruição de um processo industrial no mundo físico” diz Langner, que na semana passada se tornou o primeiro a publicamente detalhar os efeitos destrutivos do Stuxnet e as intenções maliciosas de seus criadores. “Não se trata de espionagem, como alguns disseram. Este é 100% um ato de sabotagem.”
Um míssil cibernético guiado
Em seu site, Langner publicou o código do Stuxnet que ele achou. Ele mostra passo a passo como Stuxnet funciona como um míssil cibernético guiado. Três grandes especialistas em segurança de sistema e controle industrial, cada um deles possuindo porções do código do Stuxnet obtidos através de engenharia reversa, confirmaram suas descobertas.
“Sua análise técnica é boa”, diz um pesquisador sênior dos EUA que analisou o Stuxnet, mas que pediu anonimato porque não está autorizado a falar à imprensa. “Também estamos dissecando o Stuxnet, e estamos vendo algumas das mesmas coisas.”
Outros especialistas que não fizeram engenharia reversa no Stuxnet, mas estão familiarizados com os resultados daqueles que concordam com a análise de Langner.
“O que estamos vendo com Stuxnet é a primeira visão de algo novo que não precisa de orientação externa por um ser humano – mas ainda assim pode assumir o controle de sua infra-estrutura”, diz Michael Assante, ex-chefe de controle industrial de investigação em sistemas de segurança cibernéticos do Laboratório Nacional de Energia de Idaho. “Este é o primeiro exemplo direto de um software como uma arma, altamente personalizado e concebido para encontrar um alvo em particular.”
“Eu concordo com a classificação dele como uma arma”, disse Jonathan Pollet, CEO da Red Tiger Security, especialista em sistema de controle de segurança industrial.
Achados de um pesquisador
A pesquisa de Langner, delineada em seu website segunda-feira, revela um passo fundamental no ataque do Stuxnet, que os outros pesquisadores concordam, ilustrando sua finalidade destrutiva. Essa etapa, que Langner chama de “tirar a impressão digital”, qualifica o Stuxnet como uma arma com um alvo, diz ele.
Langner mira precisamente na habilidade do Stuxnet de “tirar a impressão digital” do sistema de computador que ele invade para determinar se trata ou não da máquina objeto do ataque que se pretende levar a cabo. Se não, ele deixa o computador industrial intacto. É essa impressão digital dos sistemas de controle que faz o Stuxnet não ser um spyware, mas sim attackware criado para destruir, diz Langner.
A capacidade doStuxnet de, autonomamente, e sem assistência humana, discriminar entre sistemas de computador industrial é notável . Isso significa, diz Langner, que ele está à procura de um lugar e hora específicos para atacar uma fábrica específica ou usina de energia em todo o mundo.
“Stuxnet é a chave para um fechadura muito específica – na verdade, só existe uma fechadura no mundo que se abrirá”, diz Langner em uma entrevista. “O ataque como um todo, não visa ao roubo de dados, mas é sobre a manipulação de um processo industrial específico em um momento específico no tempo. Este ataque não é genérico. Trata-se de destruir o processo.”
Até agora, o Stuxnet já infectou pelo menos 45.000 computadores no mundo, a Microsoft anunciou no mês passado. Apenas uns poucos são sistemas de controle industrial. A Siemens informou este mês que, 14 sistemas de controle foram afetados, principalmente em fábricas de processamento e nenhum em infra-estruturas críticas.
Algumas vítimas na América do Norte tiveram alguns problemas sérios no computador, disse Eric Byres, um especialista no Canadá. A maioria dos computadores das vítimas, no entanto, estão no Irã, Paquistão, Índia e Indonésia. Alguns sistemas têm sido atingidos na Alemanha, Canadá e nos EUA também. Uma vez que o sistema está infectado, o Stuxnet simplesmente senta e espera – verifica a cada cinco segundos para ver se os seus parâmetros exatos são preenchidos no sistema. Quando o forem, o Stuxnet está programado para ativar uma seqüência que fará com que o processo industrial se autodestrua , diz Langner.
A análise de Langner também mostra, passo a passo, o que acontece depois que o Stuxnet encontra seu alvo. Depois que o Stuxnet identifica a função crítica em execução em um controlador lógico programável, ou PLC, feito pela Siemens, o malware assume o controle. Um dos últimos códigos que o Stuxnet envia é um enigmático “DEADF007. “Então, começa o ataque, embora a função precisa a ser posta de lado não é conhecida, diz Langner. Pode ser que a configuração de segurança máxima de RPMs de uma turbina possa ser desligada, ou que a lubrificação seja obstruída, ou alguma outra função vital seja sabotada. Seja como for, o Stuxnet irá sabotá-lo, mostra a análise de Langner.
“Depois que o código original [PLC] já não é executado, podemos esperar que algo venha a explodir em breve”, escreve Langner em sua análise. “Alguma coisa grande.”
Para aqueles preocupados com um futuro ataque cibernético que assuma o controle da infra estrutura computadorizada crítica – em uma usina nuclear, por exemplo – o Stuxnet é um grito de advertência, principalmente para o setor de serviços públicos e para os superintendentes governamentais dos EUA .
“As implicações do Stuxnet são muito grandes, muito maiores do que alguns pensaram inicialmente”, diz Assante, que até recentemente era chefe de segurança para o North American Electric Reliability Corp “o Stuxnet é um ataque dirigido. É o tipo de ameaça com que nós estivemos preocupados há muito tempo. Isso significa que temos de avançar mais rapidamente com as nossas defesas – muito mais rapidamente”
O Stuxnet já atingiu o seu alvo?
Pode ser tarde demais para o alvo do Stuxnet, diz Langner. Ele sugere que o alvo já foi atingido – e destruído, ou fortemente danificado. Embora o Stuxnet não revele indícios evidentes no seu código que demonstre o seu alvo.
A distribuição geográfica dos computadores atingidos pelo Stuxnet em julho, segundo a Microsoft, apontam o Irã como o epicentro aparente das infecções do Stuxnet. Isso sugere que qualquer inimigo do Irã com capacidade avançada de guerra cibernética pode estar envolvido, diz Langner. Os EUA são reconhecidos por ter essa habilidade, e Israel também é um país com uma formidável capacidade de ataque cibernético.
O Stuxnet poderia ter como alvo a usina nuclear iraniana de Bushehr, uma instalação que grande parte do mundo condena como uma ameaça nuclear?
Langner é rápido ao notar que suas opiniões sobre o alvo do Stuxnet são especulações baseadas no que ele viu na mídia. Ainda assim, ele suspeita que a usina de Bushehr pode já ter sido destruída pelo Stuxnet . O início das operações na usina de Bushehr era esperado para o final de agosto, mas foi adiada, segundo ele, por razões desconhecidas (Um funcionário iraniano culpou o atraso no tempo quente).
Mas se o Stuxnet tem como escopo um único alvo, por que ele se espalhou para muitos países? O Stuxnet poderia ter sido transmitido por um Pen Drive usado por um trabalhador russo durante a construção da usina nuclear de Bushehr, diz Langner. O mesmo trabalhador pode ter tido trabalhado em vários países onde o attackware foi descoberto.
“Isso tudo irá ser descoberto, e o alvo do Stuxnet será conhecido”, diz Langner.
“Se Bushehr não foi o alvo, e ela iniciar suas operações em poucos meses, então eu estava errado. Mas em algum lugar, o Stuxnet encontrou o seu alvo. Podemos estar certos disso.”
COLABOROU: ZE