Seguimos repasando algunas de sus virtudes y errores y comentaremos la evolución de algunas muestras en VirusTotal.
Objetivos concretos
Otra de sus virtudes es que dentro de su código contiene la contraseña por defecto "2WSXcder" para la base de datos central del producto SCADA WinCC de Siemens. El troyano consigue acceso de administración de la base de datos. Los sistemas "Supervisory Control and Data Acquisition (SCADA)" son programas críticos de producción industrial: toman datos muy sensibles de sensores de una fábrica, por ejemplo, y los envían a un sistema central para ser controlados. Se usan en grandes plantas de tratamiento de agua, control eléctrico, de tráfico, etc. Por lo tanto, se trata de un malware destinado a un perfil muy diferente del usuario "medio". En otras palabras, malware para al espionaje industrial. Se encontró sobre todo en Indonesia, India, Irán y China. Esto, unido a las cualidades anteriormente mencionadas, permitía llegar a su objetivo de forma silenciosa y eficaz.
Todas estas cualidades nos hacen pensar que el troyano ha sido concebido no solo por una mafia organizada como la que sostiene la industria antivirus actual, sino que va más allá: forma parte de un entramado que parece tocar altas esferas. Descubrir cuatro vulnerabilidades potentes y desconocidas en Windows y crear exploits eficaces para ellas requiere tiempo y mucho conocimiento, o en su defecto, del dinero para comprarlo. El supuesto robo físico de certificados, el objetivo Iraní, los involucrados han ido mucho más allá de la simple creación de laboratorio y buscan algo más que limpiar las cuentas de unos cuantos infectados.
El punto débil
El punto débil ha sido solo uno: ¿por qué un gusano que se autorreplica indiscriminadamente? ¿Qué necesidad de infectar más allá de los sistemas objetivo? Esto ha facilitado su difusión pero también que escape del círculo cerrado que se supone eran sus objetivos primarios y por lo tanto que sea conocido, reconocido y detectado por las casas antivirus. No había ninguna necesidad de salir de los entornos SCADA, puesto que su "payload" solo era válido contra estas infraestructuras; en una máquina de usuario, resulta relativamente "inocuo".
La "fama" del troyano también permite que las vulnerabilidades hayan sido eliminadas rápidamente: todavía queda una de elevación de privilegios por corregir, pero Microsoft ha solucionado tres de ellas en los últimos tres meses. Además ha provocado que los certificados sean revocados; en resumen, que su salida a los medios eche a perder el trabajo y Stuxnet no siga siendo tan eficaz. El troyano debería, o bien no replicarse indiscriminadamente, o bien controlar sobre qué sistemas lo hace para evitar los que escapen a su objetivo.
En otra entrega veremos algunos datos curiosos sobre este troyano que han recopilado en Virustotal.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4383
No hay comentarios:
Publicar un comentario