Em julho passado fora descoberta a infestação de um novo vírus de computador, batizado de Stuxnet, em computadores no Irã, Índia e Indonésia. Investigações preliminares apontavam na direção de espionagem industrial uma vez que o vírus procurava por um hospedeiro muito específico: sistemas de controle industrial. No entanto a extrema complexidade do seu código parecia esconder um propósito muito maior.
Semana passada, após meses de pesquisa sobre o vírus, Ralph Langner, especialista em segurança de sistemas industriais, conseguiu decifrar o vírus, estudá-lo em ambientes controlados de teste que simulavam instalações industriais e expôs suas descobertas a um grupo fechado de especialistas em Maryland, nos Estados Unidos. Para sua surpresa o vírus não procurava sequestar informações de seu hospedeiro, mas sim injetar códigos.
O Stuxnet se propaga de forma passiva através de interfaces USB, não sendo necessária ação alguma por parte de seu transmissor para acionar a infecção, como dentro dele estão certificados de segurança legítimos para acesso as portas de comunicação o sistema infectado não consegue identificá-lo como intruso. Uma vez dentro do hospedeiro o vírus procura por um alvo muito específico, se não encontrá-lo permanece dormente aguardando um novo hospedeiro.
O alvo em específico do Stuxnet é uma parte do sistema de gerenciamento industrial da Siemens para plantas industriais. Estes sistemas controlam todas as funções de automação de um complexo industrial através de um painel central que se comunica com sistemas de automação e controle espalhados pela planta. Estes sistemas são programados para funções muito específicas, supervisionando, recolhendo dados e agindo sobre máquinas e equipamentos no sentido de garantir o funcionamento da planta e alertando e agindo sobre eventuais problemas.
O Stuxnet consegue entrar no sistema da Siemens através de senhas válidas, acessar a interface das controladoras programáveis e injetar seu código. Estas controladores são os tentáculos do sistema central de automação e interagem diretamente com as máquinas e sistemas de uma planta. Como se utiliza de um acesso válido, todo o processo é encarado como legítimo pela central que aceita as modificações. O Stuxnet então esconde suas alterações dentro de funções básicas de funcionamento das controladores, dificultando sua identificação.
O interessante do Stuxnet é sua extrema especificidade, os códigos do vírus são extremamente complexos, possuem informações sigilosas para acesso a sistemas, demonstram um modo de operação com conhecimento detalhado do seu alvo e fora programado para agir sobre um processo muito, muito específico. Ele não foi parido por um hacker de fundo de quintal, gerá-lo envolveu um processo demorado e custoso com o envolvimento de vários especialistas e o objetivo, aparentemente, era atingir a instalação nuclear iraniana em Bushehr, que, curiosamente, sofreu atrasos durante seu processo de construção justamente dentro do período de infestação do vírus.
Mas o Stuxnet agora é história, levando-se em consideração o nível de automação das atuais plantas industriais (civis e militares) e o potencial destrutivo inerente a suas operações, a grande preocupação será a nova leva de infecções que poderá surgir.
Mensagem da hardMOB