En 2010 conocimos a Stuxnet, un malware creado, por el gobierno estadounidense e Israel para atacar la planta nuclear de Irán. Este fue conocido como uno de los ataques cibernéticos más famosos en la historia. Hoy miércoles, conocimos que en la Estación Espacial Internacional apareció el malware una vez más, al parecer lo llevó por accidente un astronauta.

Según lo que dice Eugeney Kaspersky, es muy fácil que un malware se esparza por todas partes, así no haya sido creado con ese objetivo. Eso hace parte de su naturaleza: permanecer ocultos, protegerse y propagarse. Infecciones como Stuxnet son muy difíciles de erradicar y de controlar, según lo que indica el experto de seguridad.

Lo más curioso es que Kaspersky asegura que no es la primera vez que un malware logra colarse en la Estación Espacial Internacional. De la misma manera que no es la primera vez que se encuentra Stuxnet en otro lugar después del ataque contra Irán. Al parecer hace unos años llegó a una planta de energía en Rusia a través de una USB infectada. Se desconoce el daño que podía ocasionar el malware en la estación, puede ser desde algo muy grave hasta nada.

El tema de la ciberseguridad está en uno de los momentos más críticos, No es vano algunos gobiernos, como el estadounidense, se están a empezando a preocupar de más por este tema (qué las políticas que piensan implementar sean buenas o malas es otro tema). Hay hackers que han hecho ‘ochas y panochas’ con instituciones, y hay mucho más de cuatro ciberataques que podrían entrar en el top de los más delicados. Pero estos que trajimos están entre los más violentos que han ocurrido.

Esta nota puede no ser apta para paranoicos. Si quiere seguir leyendo hágalo bajo su responsabilidad.

4. Titan Rain

La serie de ataques conocidos como Titan Rain daría para una película completa. Fueron de los primeros en prender la alerta, pues consistían en el robo de información delicada al gobierno estadounidense por parte de hackers que provenían de China.

Uno de los protagonistas de esta historia se llama Shawn Carpenter. Cuando empezó todo en 2003, era uno de los encargados de vigilar la ciberseguridad del gobierno estadounidense. Ejercía sus labores bajo el alias de ‘Spiderman’ que le otorgó el gobierno gringo en su momento, y como dijo en un reportaje que la revista Time hizo sobre todo el ataque en el 2005, “nunca había visto tanta eficiencia de un intruso en toda la historia”. Normalmente, cuando alguien logra entrar en una red del Gobierno comete algún error, se pone nervioso. Pero estos hackers eran diferentes, sabían bien a dónde iban.

Se sabía que este tipo de ataque no era algo de aficionados. Tanta organización y planificación hacía sospechar que las intrusiones estaban siendo dirigidas por el gobierno chino. Por eso, Titan Rain hoy es un nombre clave que retumba en las oficinas de seguridad de Estados Unidos, porque representa una amenaza.

Con la persecución en la que se embarcó Carpenter se descubrió que la amenaza era mucho más grande de lo que parecía. Titan Rain no solo era capaz de robar información militar, sino también de hacer que los computadores afectados se convirtieran en una especie de zombi muy fácil de vulnerar.

Los detalles sobre este ataque son muy borrosos. Se sabe que Carpenter perdió su trabajo como ‘Spiderman’ después de que reveló el ataque.

3. Agent.btz

Este parece sacado de un videojuego. En algún lugar de Afganistán, alguien logró inventarse un archivo llamado Agent.btz. Según The Washington Post, con solo insertar un dispositivo con el archivo, este lograba colarse por sí mismo adentro del computador y así robar información y abrir puertas de acceso para los hackers.

Lo más terrorífico de este es que era capaz de modificar su código para hacerse más evasivo. Además, Agent.btz, borraba las versiones antiguas de si mismo para evitar que lo rastrearan. De la misma manera que Titan Rain, los detalles sobre este archivo son muy pocos, pero se sabe logró ser derrotado. Eso sí, luego de que hizo de todo con muchos computadores del gobierno estadounidense.

2. Secuestraron historias clínicas por dinero

Este es bastante feo. Unos hackers en Estados Unidos se metieron en la base de datos de una clínica llamada Surgeons of Lake Country, se robaron las historias clínicas de los pacientes, las cifraron y dijeron que las devolverían descifradas  por una cantidad determinada de dinero.

La clínica llamó a la policía inmediatamente y cerró los servidores, perdiendo las historias en el proceso. Se negó a pagar. No se sabe qué pasó después con los responsables del crímen, no hay reportes al respecto. Pero se sabe que esta no es la primera institución médica en recibir un ataque de este tipo.

1. Stuxnet

Quizás el ataque más famoso de la historia. De un momento para otro, en una planta nuclear en Irán, comenzó a aparecer un archivo silencioso llamado Stuxnet en los computadores de control de la planta. No era un código malicioso que dañara todo, ni  archivo que parecía peligroso. Lo único que estaba haciendo era esperar al momento preciso para activarse.

El plan era hacer que las centrífugas de la planta que enfrían el uranio de la planta comenzaran a girar como locas. Así se volverían pedazos. Entre lo poco que se sabe, se conoce que la mitad de las centrífugas fueron apagadas sin previo aviso por las fecha en las que Stuxnet entró a la planta.

Panetta agregó –como lo reporta The New York Times– que su entidad está viendo un aumento en la agresividad y, al mismo tiempo, un mayor acceso a los adelantos tecnológicos por parte de los enemigos reales o potenciales de Estados Unidos como China, Rusia, Irán y grupos militantes. “Una nación agresiva o grupo extremista puede usar este tipo de herramientas cibernéticas para controlar switches críticos. Podrían descarrilar trenes o peor, descarrilar trenes con químicos letales”, explió Panetta. Según The Verge, el ataque podría tener el mismo poder destructivo que los ataques del 11 de septiembre, día que cayeron las Torres Gemelas en Nueva York.

Frente a la preocupación, el miembro del gabinete de Obama dijo que el gobierno ha creado “el sistema más sofisticado del mundo para detectar intrusiones y atacantes”. Panetta citó el virus Shamoon, que deshabilitó más de 30.000 computadores de la compañía estatal de petróleos de Arabia Saudita. The Verge asegura que el discurso tuvo como objetivo desmotivar posibles ataques, pero también para confirmar la seriedad con la que Estados Unidos está afrontando el tema.

Panetta, dentro de su discurso, toma una preocupante actitud frente a los posibles ataques. “Si detectamos la posibilidad de un inminente ataque que pueda causar daño significativo en Estados Unidos, o que pueda matar ciudadanos americanos, necesitamos tener una opción para actuar en contra aquellos que nos atacaron”, dijo Panetta. “Para este tipo de escenarios, el departamento ha desarrollado la capacidad de llevar a cabo operaciones efectivas al ver en peligro la seguridad nacional”, sentenció.

]]> https://www.enter.co/empresas/seguridad/leon-panetta-cree-que-estados-unidos-posiblemente-enfrenta-un-cyber-pearl-harbor/feed/ 4 https://www.enter.co/empresas/seguridad/estados-unidos-e-israel-son-los-creadores-de-flame/ https://www.enter.co/empresas/seguridad/estados-unidos-e-israel-son-los-creadores-de-flame/#comments Wed, 20 Jun 2012 17:01:36 +0000 http://www.enter.co/?p=69937

Finalmente parece que se ha descubierto a los creadores de Flame, el malware detectado por la firma Kaspersky que definió como el más complejo que se ha creado.

Dadas las características del malware, la firma no titubeo al afirmar que un estado sería el responsable. Fuera de eso, hace poco se reveló que una de las estrategias de Estados Unidos eran los ataques cibernéticos a diferentes países, y fue bajo la administración de Obama que se autorizó la creación de Stuxnet, otro malware que tenía unos objetivos muy específicos.

Además, investigadores encontraron que Flame contiene el mismo código de Stuxnet, y describen este hecho como evidencia de que los dos programas maliciosos eran proyectos paralelos a cargo de la misma entidad.

A pesar de que Israel negó estar detrás del reciente malware, se reveló lo que probablemente muchos ya sabían: Estados Unidos e Israel, en conjunto, desarrollaron Flame.

Según una fuente de The Washington Post, ambos países trabajaron juntos en la preparación del ‘ciber-sabojate’, cuyo fin era infiltrar los computadores y disminuir la capacidad de Irán para desarrollar armas nucleares, además de robar cualquier cantidad de información de su interés. Los organismos que estuvieron detrás de este ataque son la Agencia de Seguridad Nacional, la CIA, y militares de Israel, quienes también trabajaron en Stuxnet.

Al comprobarse la autoría de Stuxnet y Flame, según el reporte, se conocen más pistas sobre, lo que podría ser, la primera campaña sostenida de ciberataques en contra de adversarios de Estados Unidos. “Se trata de preparar el campo de batalla para otro tipo de acción encubierta“, dijo un ex alto funcionario de inteligencia de EE.UU.

Los estragos de Flame

El malware fue diseñado para infiltrarse en las redes de alta seguridad con el fin de desviar la inteligencia, además puede activar el micrófono interno de un computador para grabar conversaciones realizadas a través de Skype o cerca del computador.

También contiene módulos que registran pulsaciones del teclado, realiza capturas de pantalla de lo que está ocurriendo en el computador (como cuando el usaurio revisa la bandeja de entrada de su correo), extrae datos de geolocalización  y convierte un ordenador infectado en un faro Bluetooth para extraer información de los teléfonos con Bluetooth cercanos al equipo.

Hace poco se descubrió que Flame, a través de una falsa actualización y empleando un algoritmo criptográfico logró falsificar unas credenciales de Microsoft.

Todavía no se saben las proporciones de participación de Estados Unidos e Israel, aunque se ha especulado que Washington tuvo un papel crucial en el desarrollo de Flame. Por ahora, voceros de la CIA, la NSA y la Oficina de Inteligencia Nacional, así como la Embajada de Israel en Washington, se han negado a dar comentarios sobre el tema.

Flame, el malware más complejo que se haya descubierto, que está robando información a diestra y siniestra en los computadores de Irán, está empleando un algoritmo criptográfico. Una hazaña que le permitió, por medio de una supuesta actualización, hacer una falsificación de credenciales de Microsoft.

Los detalles de ese ataque de cifrado fueron publicados en un blog de Microsoft, el cual dejó al descubierto la sofisticación de Flame: “El malware utiliza un ataque de colisión criptográfica en combinación con los certificados de servidor de licencias, que hace firmar el código como si viniera directamente de Microsoft“, escribió Mike Reavey, director superior del Centro de Respuesta de Seguridad de Microsoft.

Por su parte, la firma de seguridad Kaspersky (que descubrió Flame) también presentó su diagnóstico del algoritmo. “Ahora podemos confirmar que esto es el propósito principal de dos módulos especiales de Flame, llamados ‘Gadget’ y ‘Munch’. Cuando una máquina intenta conectarse a Windows Update de Microsoft, Flame redirige la conexión a través de la máquina infectada y envía una actualización falsa“. La técnica de Flame permitió a los atacantes crear una certificación fraudulenta de Microsoft, que se utilizó para engañar a la gente en la instalación de varios módulos de software.

Lo que ellos hicieron fue aprovechar una vulnerabilidad de un algoritmo de cifrado viejo, logrando obtener que para dos documentos diferentes, se generara el mismo ‘hash’. Iván Vásquez, ingeniero de ENTER.CO explicó que “un hash es un identificador único que se genera para un documento específico. La idea es que si yo genero un hash de un documento de Word, y luego modifico ese documento y genero nuevamente el hash, este último debe ser diferente. Con un hash puedes verificar que un documento no ha sido modificado, pero si con dos documentos diferentes puedes obtener el mismo hash, se daña todo el sistema“.

Eso muestra que quien esté detrás del malware está usando una técnica que no es muy común por su dificultad, lo que es un síntoma de que los autores del malware tienen conocimientos y recursos  (de hecho se dice que probablemente es un Estado), porque se requiere de un alto poder de computación para lograr lo que han hecho.

Flame es mucho más sofisticado que Stuxnet, el malware desarrollado por Israel y Estados Unidos, que también atacó a computadores en Irán. Y de acuerdo con Kaspersky, esta ‘llama’ está específicamente interesada en robar información confidencial, archivos de Microsoft Office, PDF y softwares de diseño como AutoCad.

En 2010, un virus llamado Stuxnet atacó las plantas nucleares de Irán. El ataque informático fue una gran noticia por la complejidad del código y por el objetivo. ENTER.CO reportó que, por las condiciones del virus, se sospechaba que el autor intelectual del ataque podría haber sido un gobierno o varios países actuando en conjunto. Pues bien, según un extracto del libro ‘Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power’ -publicado por The New York Times– Estados Unidos e Israel estuvieron detrás de Stuxnet y el ataque a la planta nuclear de Natanz en Irán. Cabe acordar que en su momento Irán dijo qué estaba seguro que Stuxnet era parte “de la ciberguerra de Occidente en contra de Irán”. Parece que tenían razón.

El éxito de la operación todavía está en duda. Algunos oficiales estadounidenses creen que el ataque retrasó la producción nuclear de Irán en 18 meses, mientras que otros expertos piensan que la República Islámica se recuperó rápidamente y hoy tiene suficiente uranio enriquecido para producir cinco o más bombas.

Stuxnet era tan solo una parte de una estrategia más grande para usar ataques cibernéticos en contra de los enemigos de Estados Unidos. El programa -que recibió el nombre clave de Olympic Games- fue creado por George Bush en 2006 pero recibió un fuerte impulso de Barack Obama en 2010.

La historia de Stuxnet es de película. El primer paso fue introducir un programa para reconocer el terreno digital y crear un mapa de la red interna de la planta. Una vez conseguidos los datos, los ingenieros empezaron a probar el código con centrifugas decomisadas al régimen de Gaddafi. Cuando se dieron cuenta que el gusano podía controlar la maquinaria prosiguieron a la siguiente etapa: introducir el código malicioso a la red de la planta. El gran problema era que la red estaba desconectada de Internet, por lo que era necesario introducir el virus físicamente a la red. Esto lo consiguieron, posiblemente, con agentes dobles que llevaron el gusano en una USB y lo cargaron desde adentro.

Los planes iniciales de Israel y Estados Unidos eran contener el virus dentro de la red de la planta. Sin embargo, en algún momento, el virus infectó un computador portátil que, fuera de las instalaciones, se conecto a Internet y propagó el gusano. Cuando eso ocurrió, la preocupación de los oficiales americanos no se hizo esperar, aseguró Ars Technica. Sin embargo, los expertos en seguridad informática detectaron el virus y no causó tanto daño.

La noticia confirma que estamos ‘ad portas’ de una nueva modalidad de guerra. Los ataques informáticos estarán presentes en las próximas guerras y no hay ninguna forma de saber como éstos pueden afectar a la población civil. Ya estamos viendo un incremento en la complejidad de los virus y cada día son más importantes las APT (Advanced Persistent Threats, por sus siglas en inglés).

En septiembre el mundo conoció que Irán estaba bajo un ataque informático de grandes dimensiones. El virus Stuxnet fue catalogado como una de las amenazas más importantes de 2010 por la firma de seguridad ESET gracias a su capacidad de infectar particularmente sistemas de control industrial, como los usados en centrales eléctricas.

Aunque en principio el gobierno iraní dijo que su programa nuclear –al parecer el blanco principal del ataque– no había sufrido mayores daños, un renombrado experto en el virus le dijo al diario israelí ‘The Jerusalem Post’ (inglés) que el virus había dejado lisiados los avances atómicos persas.

El periódico cita a un experto alemán de apellido Langer, el cual según Ars Tecnica (inglés) es Robert Langer, una de las personas que más sabe de Stuxnet en el mundo (otros medios lo llaman ‘Ralph Langer’, y se desconoce por qué el diario israelí no citó su nombre completo). Según sus declaraciones, el virus retrasó el programa nuclear por 2 años. “Fue casi tan eficiente como un ataque militar, pero mejor, porque no hubo muertes ni se desató una guerra total. Desde la perspectiva militar, este fue un éxito gigantesco”, declaró Langer.

Lo que hace tan letal a Stuxnet para los iranís es su alto grado de sofisticación. Según Langer y otros expertos (inglés), el virus estaba especialmente diseñado para atacar el programa iraní y la seguridad informática estatal, cuyos líderes simplemente no han sabido cómo lidiar con un ataque de esta magnitud. El sitio web ZonaVirus presenta detalles de cómo funciona Stuxnet en la infraestructura nuclear iraní.

“Es extremadamente difícil limpiar las instalaciones que tienen Stuxnet, y sabemos que Irán no es bueno para la tecnología de información y apenas está tratando de entender qué significa todo esto”, le dijo Langer al diario israelí. “Para que sus sistemas funcionen otra vez, van a tener que deshacerse del virus (…), van a tener que remplazar sus equipos, y van a tener que reconstruir sus centrífugas en Natanz y comprar una nueva turbina para Bushehr”. Natanz y Bushehr son los sitios donde se encuentran los reactores más importantes del controvertido programa nuclear iraní.

Tanto los efectos puntuales como la alta sofisticación de Stuxnet han llevado a expertos independientes y al gobierno iraní a concluir que se trata de un ataque planeado por otro país. Los principales sospechosos son Israel y Estados Unidos –los rivales políticos más radicales de su programa nuclear–, pero se especula que posiblemente Alemania también haya participado.

Si algún día se llega a saber con certeza que los gobiernos de ciertos países estuvieron detrás de Stuxnet, este sería uno de los primeros y más exitosos ataques en una ciberguerra que estaría apenas comenzando, pues Irán no se quedará de brazos cruzados.  (inglés).

Los medios de todo el mundo están reportando que un malware está atacando el reactor nuclear Bushehr, en Irán. El virus se llama Stuxnet y es el primero que está diseñado exclusivamente para tomar control de maquinaria industrial. De acuerdo con el gobierno de Irán y con expertos de Kaspersky y Symantec, la sofisticación del malware y su preferencia por Irán indican que un Estado estaría detrás del ataque.

Hasta el momento más de 30.000 direcciones IP han sido atacadas en Irán, lo cual corresponde al 60% de las víctimas en todo el mundo. El virus fue descubierto en junio por la firma de seguridad informática bielorrusa VirusBlokAda en los computadores de un cliente iraní, pero sus inicios han sido rastreados (inglés) hasta 2009.

El gobierno iraní, por medio de Mahmud Liayí, un alto oficial del Ministerio de Industria, está seguro de que Stuxnet “es parte de la ciberguerra de Occidente contra Irán”, aunque también despejó dudas sobre la integridad de su reactor nuclear. Irán dice que a pesar de la magnitud del ataque a su país, el reactor Bushehr no ha sufrido daños ni está en riesgo.

Algunas las denuncias de Irán en el marco internacional no resuenan con fuerza (su presidente no cree en el holocausto ni en el 11 de septiembre), pero en esta ocasión reconocidos expertos en seguridad informática parecen compartir su opinión, aunque no señalan directamente a Occidente como responsable.

En declaraciones a Computerworld.com (inglés), Liam O Murchu (Symantec) y Roel Schouwenberg (Kaspersky) coincidieron en que estaban muy sorprendidos por el nivel de sofisticación del virus. De acuerdo con las declaraciones de O Murchu, “Es increíble, la verdad, la cantidad de recursos que fueron invertidos” en Stuxnet. “Yo lo calificaría como revolucionario”, le opinó Schouwenberg a la misma publicación.

¿El primer ataque electrónico entre países?

Stuxnet no está diseñado para atacar computadores comunes ni tiene como finalidad un beneficio económico para su creador. Este virus no roba información ni la corrompe, está diseñado exclusivamente con el fin de controlar maquinaria industrial en instalaciones de servicios públicos, como la usada en acueductos o plantas eléctricas.

Para que funcione como debe, Stuxnet necesita infectar una planta que use los sistemas de la compañía alemana Siemens. La planta nuclear Bushehr emplea la tecnología de Siemens, pero el grado de sofisticación del virus indica que los creadores no solo tuvieron recursos enormes, también contaron con dos certificados digitales originales de la empresa que funcionan con la planta iraní.

Stuxnet también es pionero en la cantidad de fallas de día cero (riesgos de seguridad informática que no son conocidos hasta el momento en que ataca un malware) que explota para lograr sus objetivos. Según Microsoft, este virus aprovecha cuatro fallas de Windows antes desconocidas. La complejidad detrás de estos riesgos ha causado que Microsoft sólo haya podido enmendar 2 de ellos hasta el momento.

Para Liam O Murchu, de Symantec, las cosas son muy claras. “Querían reprogramar la maquinaria de una forma distinta a la que deseaban los operadores reales. Eso apunta a algo más allá de espionaje industrial”. Además, el dinero necesario para lograr un ataque así lo deja por fuera de las manos de cualquier grupo privado, agregó Murchu.

“Todas las diferentes circunstancias, desde las fallas de día cero hasta los certificados robados y la distribución del virus, hacen más plausible que se trate un grupo patrocinado por una nación-Estado”, coincidió Schouwenberg, de Kaspersky. “Parece algo sacado de una película, pero es plausible, sorpresivamente plausible”, concluyó el experto de Kaspersky.

Medios estadounidenses como Fox News han insinuado que Estados Unidos, Israel y Alemania podrían estar detrás del ataque, pero ninguno ha salido a desmentir o confirmar esta sospecha. Estas 3 naciones trabajan muy de cerca en asuntos militares y están comprometidas con evitar que Irán desarrolle una bomba atómica. Sabotear la planta nuclear de Bushehr de manera cibernética es un escenario congruente con los esfuerzos de estos países, pues la presión diplomática no ha detenido el apetito atómico de Teherán y una confrontación militar tradicional podría ser desastrosa para todos los involucrados.