Alguns peritos dizem que o objectivo era atingir o reactor Bushehr. Os investigadores que puderam estudar o worm são unânimes em afirmar que o Stuxnet foi criado por um criminoso muito competente e sofisticado, talvez patrocinado por um governo.
Um worm altamente sofisticado que se espalhou pelo Irão, Indonésia e Índia terá sido especificamente criado para destruir as operações de um alvo em concreto: o reactor nuclear iraniano Bushehr. Quem o diz são os peritos em segurança informática que examinaram o worm Stuxnet, tendo conseguido furar o código de encriptação por detrás do software e descoberto como funciona em ambientes de teste. Os investigadores que puderam estudar o worm são unânimes em afirmar que o Stuxnet foi criado por um criminoso muito competente e sofisticado – possivelmente até patrocinado por um governo de algum país – tendo sido especificamente concebido para destruir um alvo de grandes dimensões.
Apesar de ter sido desenvolvido há mais de um ano, o Stuxnet só foi descoberto em Julho de 2010, altura em que uma empresa de segurança da Bielorrússia detectou a presença do worm em computadores pertencentes a um cliente iraniano.
Desde então, o malware tem vindo a ser alvo de estudo por parte dos investigadores especializados em segurança, que dizem nunca ter visto nada assim antes. Agora, após meses de especulação, alguns desses investigadores que melhor conhecem o Stuxnet dizem que pode ter sido criado para sabotar as operações nucleares do Irão.
A tese de Langner
Na semana passada, Ralph Langner, um respeitado perito em segurança de sistemas industriais, publicou uma análise realizada ao worm, que afecta os sistemas de software da Siemens, sugerindo que pode ter sido criado com o propósito de sabotar o reactor nuclear Bushehr. Sendo perito em sistemas Siemens, Ralph Langner simulou uma rede industrial Siemens para analisar o método de ataque deste worm.
Os especialistas em segurança começaram por pensar que o Stuxnet foi criado para roubar segredos industriais – fórmulas que pudessem ser usadas para a contrafacção de produtos. Mas Ralph Langner descobriu algo diferente. O worm procura definições específicas dos sistemas Siemens, injectando depois o seu próprio código nesses sistemas. Dada a complexidade dos ataques, o alvo “deve ser de valor extremamente elevado para o atacante”, escreveu Langner na sua análise ao worm.
Este responsável terá apresentado as conclusões da sua investigação numa conferência de segurança realizada esta semana à porta fechada em Maryland, nos Estados Unidos, durante a qual haveria um painel composto apenas por engenheiros da Siemens.
Ralph Langner diz que ainda não se sente preparado para falar publicamente sobre as suas conclusões. Outros especialistas que já tiveram a oportunidade de ler a sua análise dizem que o autor do worm tinha seguramente um alvo específico em mente.
Este alvo específico pode, então, ser o reactor nuclear iraniano Bushehr, actualmente em construção. A sua construção terá sofrido atrasos no ano passado, vários meses depois de o Stuxnet ter sido supostamente criado e, de acordo com informações disponíveis, a instalação contará com sistemas Siemens PLC baseados em Windows, os tais que são afectados pelo Stuxnet. Dale Peterson, CEO da Digital Bond, acredita que o reactor Bushehr era de facto o alvo do worm. “Na minha opinião, essa é a explicação que mais sentido faz, mas não deixa de ser especulação”, sublinha.
Construtora russa foi veículo
Ralph Langner também acredita que o reactor possa ter sido infectado através da construtora russa que está à frente das obras, a JSC AtomStroyExport. Recentemente, a AtomStroyExport viu o seu Website ser atacado por hackers, e algumas das suas páginas ainda são bloqueadas pelas empresas de segurança por alojarem malware. Este não será, com efeito, um sinal auspicioso para uma empresa que lida com o mundo da energia nuclear.
O CTO da Byres Security, Eric Byres, é um perito em segurança de sistemas industriais que tem vindo a vigiar o Stuxnet desde que foi descoberto. Inicialmente pensou que se destinava à espionagem industrial, mas depois de ler a análise de Ralph Langner acabou por mudar de ideias. “Eu estava enganado. Depois de ver o código que Ralph extraiu deste worm, percebi que ele tinha razão”, admitiu.
Uma das coisas que Ralph Langner descobriu é que, quando o Stuxnet identifica o seu alvo, realiza alterações a um segmento de código da Siemens, chamado Organizational Block 35. Este componente dos sistemas Siemens monitoriza operações industriais críticas, ou seja, tudo o que necessite de uma resposta urgente dentro dos próximos 100 milissegundos. Ao manipular o Operational Block 35, o Stuxnet pode facilmente fazer com que o processo de centrifugação de uma refinaria falhe, por exemplo, mas também provocar uma série de outros estragos em alvos diferentes, como saliente Eric Byres. “A única coisa que posso garantir é que foi feito para causar estragos de grande monta”, sustenta.
Com forte apoio
Quem criou o Stuxnet foi também responsável pelo desenvolvimento de quatro anteriores ataques de dia-zero e de um sistema de comunicações peer-to-peer, além de ter comprometido os certificados digitais da Realtek Semiconductor e da JMicron Technology. Nenhuma destas acções é atribuível a um hacker comum, pelo que muitos peritos em segurança acreditam que se trata de algo levado a cabo graças aos recursos e apoio de toda uma nação.
No ano passado, surgiram os primeiros rumores de que Israel estaria a preparar um ciber-ataque às infra-estruturas nucleares do Irão. O reactor Bushehr seria, por isso, um alvo plausível, mas podem ainda haver outras instalações – como refinarias, indústrias químicas e fábricas – consideradas como alvos valiosos, sustenta Scott Borg, CEO da U.S. Cyber Consequences Unit, um grupo de especialistas em ciber-segurança. De acordo com este perito, “não é óbvio ainda que se trata de um ataque ao programa nuclear iraniano. Até porque o Irão conta com outros sistemas de controlo que também poderão estar a ser considerados como alvos”, afirma.
Até ao momento, o governo iraniano ainda não se pronunciou sobre estas possibilidades, mas fontes próximas dizem que o Irão foi fortemente atingido pelo worm. Quando foi descoberto, 60% dos computadores infectados pelo Stuxnet estavam localizados no Irão, de acordo com a Symantec.
Agora que o seu ataque foi tornado público, o mercado dos sistemas de controlo industriais acabou por ficar mal na fotografia e deverá continuar a ter motivos de preocupação. “O problema não é o Stuxnet. O Stuxnet já é passado. O problema é a próxima geração de malware que aí vem”, avisa Ralph Langner.