‘Malware’ Stuxnet foi desenvolvido para destruir usina nuclear

iraniana?
http://www.aereo.jor.br/2010/10/05/malware-stuxnet-foi-desenvolvido-para-destruir-usina-nuclear-iraniana/

5 de outubro de 2010, em Guerra Cibernética, Guerra eletrônica, Noticiário Internacional, por

Alexandre Galante

O sofware malicioso (malware) Stuxnet, infectou sistemas de computadores no mundo todo.

Os especialistas em segurança cibernética dizem que ele é uma arma de destruição fabricada para
destruir um objeto específico. Um especialista sugeriu que esse sofware malicioso foi criado para
destruir a usina nuclear iraniana de Bushehr.

Os especialistas em segurança cibernética, disseram que eles descobriram a primeira super

arma cibernética designada para destruir um alvo real, um alvo fora do mundo cibernético – uma
fábrica, uma refinaria, ou talvez uma usina nuclear.

O programa auto replicante (worm), chamado Stuxnet, tem sido objeto de intenso estudo,
desde a sua detecção, em junho. Quanto mais se sabe a respeito, maior é o medo sobre as suas
capacidades e propósitos. Alguns peritos em segurança cibernética, agora dizem que a chegada do
Stuxnet anuncia algo incrivelmente novo: uma arma cibernética criada para sair da esfera cibernética
e ir para o mundo físico – para destruir alguma coisa.

Pelo menos um especialista que estudou extensivamente o software malicioso, ou malware,

sugere que o Stuxnet já pode ter atacado o seu objetivo – e que pode ter sido a usina nuclear iraniana
de Bushehr, que grande parte do mundo condena como sendo uma ameaça atômica.

O aparecimento do Stuxnet criou uma onda de espanto entre os especialistas de segurança

informática. O malware é muito grande, muito codificado, muito complexo para ser compreendido
imediatamente. Ele tem em seu bojo, incríveis truques novos, como a tomada de controle de um
sistema de computador sem o usuário tomar qualquer ação ou clicar em qualquer botão, apenas
inserindo um pendrive infectado.

Especialistas dizem que houve um gasto enorme de tempo, dinheiro e talento em engenharia
de software para identificar e explorar essas vulnerabilidades em sistemas de software de controle
industrial .
 Diferentemente da maioria dos malwares, o Stuxnet não se destina a ajudar alguém a ganhar
dinheiro ou roubar dados confidenciais. Os especialistas em controle de sistemas industriais
concluiram, após quase quatro meses gastos em engenharia reversa com o Stuxnet, que o mundo
enfrenta uma nova espécie de malware, que poderá se tornar um modelo para os invasores que
pretendem lançar ataques digitais em alvos físicos, reais, em todo o mundo . E para isso, não é preciso
ter ligação à Internet.

“Até poucos dias atrás, as pessoas não acreditam que um ataque direcionado como esse era
possível”, disse Ralph Langner, um pesquisador em segurança do cibernética alemão, em uma
entrevista. Ele foi escalado para apresentar seus resultados em uma conferência de especialistas em
segurança industrial terça-feira em Rockville, Md. “O Stuxnet representa um futuro em que as
pessoas, com recursos apropriados, serão capazes de comprar um ataque como este no mercado
negro. Esta agora é uma preocupação válida.”

O amanhecer gradual da finalidade do Stuxnet

É uma compreensão que surgiu apenas gradualmente. O Stuxnet veio à tona em junho, e em
julho foi identificado como um malware super sofisticado, provavelmente criado por um grupo
trabalhando para um Estado, dizem os especialistas de segurança cibernética. Seu nome advém de
alguns dos nomes dos arquivos do malware. É o primeiro malware conhecido por atacar e se infiltrar
no Controle de Supervisão E Aquisição de Dados (SCADA), software usado para controlar fábricas de
materiais químicos e fábricas em geral, assim como centrais elétricas e sistemas de transmissão em
todo o mundo. Isto, os especialistas descobriram imediatamente.

Mas qual foi o motivo dos responsáveis pela sua criação? O Stuxnet foi criado com o objetivo
de roubar segredos industriais – pressão, temperatura, válvulas, ou outras configurações e comunicar
os dados através da Internet para os ladrões cibernéticos ?
Em agosto, pesquisadores encontraram algo mais preocupante: o Stuxnet parecia ser capaz de
assumir o controle dos sistemas automatizados de controle das fábricas que havia infectado – e fazer
tudo o que foi programado para fazer com eles. Isso é maldoso e perigoso.

Mas o malware é ainda pior. Por causa da engenharia reversa, que despedaça o código do
Stuxnet, os especialistas em segurança cibernética dos EUA confirmam o que o Sr. Langner, o
pesquisador alemão, disse: o Stuxnet é essencialmente um míssil militar cibernético de precisão,
lançado no ano passado para procurar e destruir um alvo real de grande importância mundial – um
alvo ainda desconhecido.

“Stuxnet é um ataque cibernético que visa à destruição de um processo industrial no mundo

físico” diz Langner, que na semana passada se tornou o primeiro a publicamente detalhar os efeitos
destrutivos do Stuxnet e as intenções maliciosas de seus criadores. “Não se trata de espionagem,
como alguns disseram. Este é 100% um ato de sabotagem.”
Um míssil cibernético guiado
Em seu site, Langner publicou o código do Stuxnet que ele achou. Ele mostra passo a passo
como Stuxnet funciona como um míssil cibernético guiado. Três grandes especialistas em segurança
de sistema e controle industrial, cada um deles possuindo porções do código do Stuxnet obtidos
através de engenharia reversa, confirmaram suas descobertas.

“Sua análise técnica é boa”, diz um pesquisador sênior dos EUA que analisou o Stuxnet, mas
que pediu anonimato porque não está autorizado a falar à imprensa. “Também estamos dissecando o
Stuxnet, e estamos vendo algumas das mesmas coisas.”

Outros especialistas que não fizeram engenharia reversa no Stuxnet, mas estão familiarizados
com os resultados daqueles que concordam com a análise de Langner.

“O que estamos vendo com Stuxnet é a primeira visão de algo novo que não precisa de
orientação externa por um ser humano – mas ainda assim pode assumir o controle de sua infra-
estrutura”, diz Michael Assante, ex-chefe de controle industrial de investigação em sistemas de
segurança cibernéticos do Laboratório Nacional de Energia de Idaho. “Este é o primeiro exemplo
direto de um software como uma arma, altamente personalizado e concebido para encontrar um alvo
em particular.”
“Eu concordo com a classificação dele como uma arma”, disse Jonathan Pollet, CEO da Red Tiger
Security, especialista em sistema de controle de segurança industrial.

Achados de um pesquisador
A pesquisa de Langner, delineada em seu website segunda-feira, revela um passo fundamental
no ataque do Stuxnet, que os outros pesquisadores concordam, ilustrando sua finalidade destrutiva.
Essa etapa, que Langner chama de “tirar a impressão digital”, qualifica o Stuxnet como uma arma com
um alvo, diz ele.

Langner mira precisamente na habilidade do Stuxnet de “tirar a impressão digital” do sistema

de computador que ele invade para determinar se trata ou não da máquina objeto do ataque que se
pretende levar a cabo. Se não, ele deixa o computador industrial intacto. É essa impressão digital dos
sistemas de controle que faz o Stuxnet não ser um spyware, mas sim attackware criado para destruir,
diz Langner.
 A capacidade doStuxnet de, autonomamente, e sem assistência humana, discriminar entre
sistemas de computador industrial é notável . Isso significa, diz Langner, que ele está à procura de um
lugar e hora específicos para atacar uma fábrica específica ou usina de energia em todo o mundo.

“Stuxnet é a chave para um fechadura muito específica – na verdade, só existe uma fechadura
no mundo que se abrirá”, diz Langner em uma entrevista. “O ataque como um todo, não visa ao
roubo de dados, mas é sobre a manipulação de um processo industrial específico em um momento
específico no tempo. Este ataque não é genérico. Trata-se de destruir o processo.”

Até agora, o Stuxnet já infectou pelo menos 45.000 computadores no mundo, a Microsoft
anunciou no mês passado. Apenas uns poucos são sistemas de controle industrial. A Siemens
informou este mês que, 14 sistemas de controle foram afetados, principalmente em fábricas de
processamento e nenhum em infra-estruturas críticas.

Algumas vítimas na América do Norte tiveram alguns problemas sérios no computador, disse
Eric Byres, um especialista no Canadá. A maioria dos computadores das vítimas, no entanto, estão no
Irã, Paquistão, Índia e Indonésia. Alguns sistemas têm sido atingidos na Alemanha, Canadá e nos EUA
também. Uma vez que o sistema está infectado, o Stuxnet simplesmente senta e espera – verifica a
cada cinco segundos para ver se os seus parâmetros exatos são preenchidos no sistema. Quando o
forem, o Stuxnet está programado para ativar uma seqüência que fará com que o processo industrial
se autodestrua , diz Langner.

A análise de Langner também mostra, passo a passo, o que acontece depois que o Stuxnet
encontra seu alvo. Depois que o Stuxnet identifica a função crítica em execução em um controlador
lógico programável, ou PLC, feito pela Siemens, o malware assume o controle. Um dos últimos códigos
que o Stuxnet envia é um enigmático “DEADF007. “Então, começa o ataque, embora a função precisa
a ser posta de lado não é conhecida, diz Langner. Pode ser que a configuração de segurança máxima
de RPMs de uma turbina possa ser desligada, ou que a lubrificação seja obstruída, ou alguma outra
função vital seja sabotada. Seja como for, o Stuxnet irá sabotá-lo, mostra a análise de Langner.

“Depois que o código original [PLC] já não é executado, podemos esperar que algo venha a
explodir em breve”, escreve Langner em sua análise. “Alguma coisa grande.”
Para aqueles preocupados com um futuro ataque cibernético que assuma o controle da infra
estrutura computadorizada crítica – em uma usina nuclear, por exemplo – o Stuxnet é um grito de
advertência, principalmente para o setor de serviços públicos e para os superintendentes
governamentais dos EUA .

“As implicações do Stuxnet são muito grandes, muito maiores do que alguns pensaram
inicialmente”, diz Assante, que até recentemente era chefe de segurança para o North American
Electric Reliability Corp “o Stuxnet é um ataque dirigido. É o tipo de ameaça com que nós estivemos
preocupados há muito tempo. Isso significa que temos de avançar mais rapidamente com as nossas
defesas – muito mais rapidamente”

O Stuxnet já atingiu o seu alvo?

Pode ser tarde demais para o alvo do Stuxnet, diz Langner. Ele sugere que o alvo já foi atingido
– e destruído, ou fortemente danificado. Embora o Stuxnet não revele indícios evidentes no seu
código que demonstre o seu alvo.

A distribuição geográfica dos computadores atingidos pelo Stuxnet em julho, segundo a

Microsoft, apontam o Irã como o epicentro aparente das infecções do Stuxnet. Isso sugere que
qualquer inimigo do Irã com capacidade avançada de guerra cibernética pode estar envolvido, diz
Langner. Os EUA são reconhecidos por ter essa habilidade, e Israel também é um país com uma
formidável capacidade de ataque cibernético.
O Stuxnet poderia ter como alvo a usina nuclear iraniana de Bushehr, uma instalação que grande
parte do mundo condena como uma ameaça nuclear?

Langner é rápido ao notar que suas opiniões sobre o alvo do Stuxnet são especulações
baseadas no que ele viu na mídia. Ainda assim, ele suspeita que a usina de Bushehr pode já ter sido
destruída pelo Stuxnet . O início das operações na usina de Bushehr era esperado para o final de
agosto, mas foi adiada, segundo ele, por razões desconhecidas (Um funcionário iraniano culpou o
atraso no tempo quente).

Mas se o Stuxnet tem como escopo um único alvo, por que ele se espalhou para muitos
países? O Stuxnet poderia ter sido transmitido por um Pen Drive usado por um trabalhador russo
durante a construção da usina nuclear de Bushehr, diz Langner. O mesmo trabalhador pode ter tido
trabalhado em vários países onde o attackware foi descoberto.

“Isso tudo irá ser descoberto, e o alvo do Stuxnet será conhecido”, diz Langner.
“Se Bushehr não foi o alvo, e ela iniciar suas operações em poucos meses, então eu estava errado.
Mas em algum lugar, o Stuxnet encontrou o seu alvo. Podemos estar certos disso.”