Hasta ahora en nuestra serie de entradas sobre Stuxnet nos hemos enfocado en los problemas principales: lo peligroso que es que una vulnerabilidad antes desconocida pueda procesar archivos LNK y el hecho de que los cibercriminales obtuvieron de alguna manera certificados digitales. Pero no hemos compartido los detalles sobre la funcionalidad del gusano.
Seguro que aquellos que han seguido la historia de Stuxnet ya se han enterado de que el gusano, además de replicarse, intenta acceder a sistemas industriales que ejecutan WinCC de Siemens.
No recuerdo qué periodista o analista antivirus mencionó por primera vez las plantas de energía (algunas de las cuales funcionan con WinCC) y las relacionó con Stuxnet. Desde entonces, se ha elevado la historia al nivel de una película de Hollywood, con rumores sobre ‘ataques a la industria’ y ‘espionaje intergubernamental’.
Stuxnet intenta conectarse al sistema de visualización WinCC SCADA usando la contraseña predeterminada de Siemens. Un componente muy interesante forma parte del gusano, un dll que sirve como envoltorio para el dll original de Siemens. Este envoltorio intenta conectarse a WinCC y redirige la mayoría de las funciones al dll original mientras emula las funciones restantes.
Las funciones son:
s7db_open
s7blk_write
s7blk_findfirst
s7blk_findnext
s7blk_read
s7_event
s7ag_test
s7ag_read_szl
s7blk_delete
s7ag_link_in
s7db_close
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg
El módulo también contiene varios bloques de datos codificados, como este:
Siemens está realizando sus propias investigaciones y análisis del malware. Ha publicado información oficial sobre el incidente, en la que se confirma un caso de infección de un cliente WinCC en Alemania.
Parte del informe dice:
“Hasta ahora sólo se conoce un caso de un ordenador WinCC infectado. El virus infiltró un simple ambiente de ingeniería de un integrador de sistemas, pero lo eliminamos pronto. Por ahora ninguna planta de producción ha sido afectada”
“Sólo hemos descubierto un caso de infección en Alemania. Estamos comprobando si el virus causó algún daño”.
Siemens también confirmó que el gusano puede transmitir datos de procesos y producción, y que intenta establecer una conexión con los servidores del cibercriminal, pero por ahora los servidores están inactivos.
P.D. Siemens acaba de publicar una actualización:
“Hasta el momento conocemos dos casos en todo el mundo de ordenadores de WinCC infectados. Por ahora ninguna planta de producción ha sido afectada”.
Mirtos y Guayabas, Episodio 5