Inicialmente, los investigadores de seguridad no tenían duda alguna de que el ataque era de carácter selectivo. El código del gusano Stuxnet lucía profesional y exclusivo; hubo evidencia de que se utilizaron vulnerabilidades de día-cero extremadamente caras. Sin embargo, aún no se sabía qué clase de organizaciones habían sido atacadas primero y cómo el malware llegó a las centrifugadoras de enriquecimiento de uranio en las instalaciones ultra secretas.
Este nuevo análisis aclara un poco las preguntas presentadas anteriormente. Las cinco organizaciones que fueron atacadas inicialmente trabajan en el área de Sistemas de Control Industrial (ICS por sus siglas en inglés) en Irán, desarrollando ICS o abasteciendo materiales y componentes. La quinta organización en ser atacada es la que más intriga causa porque aparte de generar productos para la automatización industrial, también produce centrifugadoras para el enriquecimiento de uranio. Este es precisamente el tipo de equipo que se cree era el objetivo principal de Stuxnet.
Al parecer, los atacantes esperaban que estas organizaciones intercambiaran datos con sus clientes – tal como infraestructuras de enriquecimiento de uranio – lo cual haría posible la introducción del malware a las instalaciones destinadas. El resultado sugiere que el plan fue un éxito rotundo.
“El analizar las actividades profesionales de las primeras organizaciones que fueron víctimas de Stuxnet, nos ayuda a entender mejor cómo se planeó toda la operación. Al final del día, este es un ejemplo de un vector de ataque a la cadena de suministro, donde el malware es depositado en la organización seleccionada de manera indirecta a través de las redes de los socios con los que la organización blanco podía tener contacto”, dijo Alexander Gostev, Experto en Seguridad de Kaspersky Lab.
Los expertos de Kaspersky Lab hicieron otro descubrimiento interesante: el gusano Stuxnet no se propagó únicamente por medio de las memorias USB infectadas que se conectaban a las PCs. Esta fue la teoría inicial, la cual explicaba cómo el malware se infiltraba a un lugar sin conexión directa a Internet. Sin embargo, los datos reunidos al analizar el primer ataque, mostraron que la primera muestra del gusano (Stuxnet) se había compilado horas antes de su aparición en una PC en la primera organización atacada. Esta apretada cadena de sucesos hace difícil imaginar que un atacante compiló la muestra, la pasó a una memoria USB y la instaló en la organización blanco en tan sólo unas horas. Es razonable asumir que en este caso en particular, las personas detrás de Stuxnet utilizaron otras técnicas en lugar de una infección mediante memorias USB.
La información técnica más reciente acerca de algunos aspectos desconocidos del ataque Stuxnet está disponible en Securelist y en un nuevo libro – “Countdown to Zero Day” – del periodista Kim Zetter. El libro incluye información no revelada anteriormente sobre Stuxnet; parte de esta información se basa en las entrevistas con los miembros del equipo de Análisis e Investigación Global de Kaspersky Lab.
Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 17 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global.
