Stuxnet Industrial Worm se escribió hace más de un año

Un gusano sofisticado diseñado para robar secretos industriales ha existido por mucho más tiempo de lo que se pensaba, según los expertos en seguridad que investigan el software malicioso.

Llamado Stuxnet, el gusano era desconocido hasta mediados de julio, cuando fue identificado por los investigadores con VirusBlockAda, un proveedor de seguridad con sede en Minsk, Bielorrusia. El gusano es notable no solo por su sofisticación técnica, sino también por el hecho de que apunta a las computadoras del sistema de control industrial diseñadas para operar fábricas y plantas de energía.

Ahora los investigadores de Symantec dicen que han identificado una versión temprana del gusano que se creó en junio de 2009, y que el software malicioso se hizo mucho más sofisticado a principios de 2010.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Esta versión anterior de Stuxnet actúa de la misma manera que su encarnación actual: intenta conectarse con los sistemas de gestión SCADA (control de supervisión y adquisición de datos) de Siemens y roba datos, pero no utiliza algunas de las técnicas más notables del gusano más nuevo para evadir la detección de virus y instalarse en los sistemas de Windows. Esas características probablemente se agregaron unos meses antes de que el último gusano fuera detectado por primera vez, dijo Roel Schouwenberg, investigador del vendedor de antivirus Kaspersky Lab. "Este es sin ninguna duda el ataque dirigido más sofisticado que hemos visto hasta ahora", dijo.

Después de que se creó Stuxnet, sus autores agregaron un nuevo software que permitió que se propagara entre dispositivos USB prácticamente sin intervención de la víctima. Y también de alguna manera lograron tener en sus manos las claves de encriptación pertenecientes a las compañías de chips Realtek y JMicron y firman digitalmente el malware, para que los escáneres antivirus tengan más dificultades para detectarlo.

Realtek y JMicron tienen ambas oficinas en la Ciencia Hsinchu Park en Hsinchu, Taiwán y Schouwenberg creen que alguien pudo haber robado las llaves al acceder físicamente a las computadoras en las dos compañías.

Los expertos en seguridad dicen que estos ataques dirigidos han estado en curso desde hace años, pero recién recientemente comenzaron a ganar la atención de la corriente principal. después de que Google reveló que había sido atacado por un ataque conocido como Aurora.

Tanto Aurora como Stuxnet aprovechan fallas sin par de "día cero" en los productos de Microsoft. Pero Stuxnet es más notable técnicamente que el ataque de Google, dijo Schouwenberg. "Aurora tuvo un día cero, pero fue un día cero contra IE6", dijo. "Aquí tiene una vulnerabilidad que es efectiva contra todas las versiones de Windows desde Windows 2000".

El lunes, Microsoft lanzó un parche temprano para la vulnerabilidad de Windows que Stuxnet usa para propagarse de un sistema a otro. Microsoft lanzó la actualización justo cuando el código de ataque de Stuxnet comenzó a usarse en ataques más virulentos.

Aunque un falsificador pudo haber usado Stuxnet para robar secretos industriales, como datos de fábrica sobre cómo hacer palos de golf, por ejemplo, Schouwenberg sospecha que un estado nación estuvo detrás de los ataques. Hasta la fecha, Siemens dice que cuatro de sus clientes se han infectado con el gusano. Pero todos esos ataques han afectado a los sistemas de ingeniería, más que a nada en la fábrica.

Aunque la primera versión del gusano fue escrita en junio de 2009, no está claro si esa versión se utilizó en un ataque en el mundo real. Schouwenberg cree que el primer ataque podría haber sido en julio de 2009. El primer ataque confirmado que conoce Symantec data de enero de 2010, dijo Vincent Weafer, vicepresidente de tecnología y respuesta de Symantec.

La mayoría de los sistemas infectados están en Irán, agregó, aunque India, Indonesia y Pakistán también están siendo afectados. Esto en sí mismo es altamente inusual, dijo Weaver. "Es la primera vez en 20 años que recuerdo que Irán aparece tan fuertemente".

Robert McMillan cubre noticias de última hora sobre seguridad informática y tecnología general para

The IDG News Service. Sigue a Robert en Twitter en @bobmcmillan. La dirección de correo electrónico de Robert es [email protected]