Menú de contenidos Cerrar

Noticias

Mirtos y Guayabas, Episodio 5

Noticias

lectura de un minuto

Autores

Hasta ahora en nuestra serie de entradas sobre Stuxnet nos hemos enfocado en los problemas principales: lo peligroso que es que una vulnerabilidad antes desconocida pueda procesar archivos LNK y el hecho de que los cibercriminales obtuvieron de alguna manera certificados digitales. Pero no hemos compartido los detalles sobre la funcionalidad del gusano.

Seguro que aquellos que han seguido la historia de Stuxnet ya se han enterado de que el gusano, además de replicarse, intenta acceder a sistemas industriales que ejecutan WinCC de Siemens.

No recuerdo qué periodista o analista antivirus mencionó por primera vez las plantas de energía (algunas de las cuales funcionan con WinCC) y las relacionó con Stuxnet. Desde entonces, se ha elevado la historia al nivel de una película de Hollywood, con rumores sobre ‘ataques a la industria’ y ‘espionaje intergubernamental’.

(Cómo funciona WinCC; imagen de un documento de Siemens)

Stuxnet intenta conectarse al sistema de visualización WinCC SCADA usando la contraseña predeterminada de Siemens. Un componente muy interesante forma parte del gusano, un dll que sirve como envoltorio para el dll original de Siemens. Este envoltorio intenta conectarse a WinCC y redirige la mayoría de las funciones al dll original mientras emula las funciones restantes.

Las funciones son:

s7db_open
s7blk_write
s7blk_findfirst
s7blk_findnext
s7blk_read
s7_event
s7ag_test
s7ag_read_szl
s7blk_delete
s7ag_link_in
s7db_close
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

El módulo también contiene varios bloques de datos codificados, como este:

Siemens está realizando sus propias investigaciones y análisis del malware. Ha publicado información oficial sobre el incidente, en la que se confirma un caso de infección de un cliente WinCC en Alemania.

Parte del informe dice:

“Hasta ahora sólo se conoce un caso de un ordenador WinCC infectado. El virus infiltró un simple ambiente de ingeniería de un integrador de sistemas, pero lo eliminamos pronto. Por ahora ninguna planta de producción ha sido afectada”

“Sólo hemos descubierto un caso de infección en Alemania. Estamos comprobando si el virus causó algún daño”.

Siemens también confirmó que el gusano puede transmitir datos de procesos y producción, y que intenta establecer una conexión con los servidores del cibercriminal, pero por ahora los servidores están inactivos.

P.D. Siemens acaba de publicar una actualización:

“Hasta el momento conocemos dos casos en todo el mundo de ordenadores de WinCC infectados. Por ahora ninguna planta de producción ha sido afectada”.

Autores

Mirtos y Guayabas, Episodio 5

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

De los mismos autores

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada

En la misma categoría

    • Últimas publicaciones
    Informes

    BlindEagle vuela alto en LATAM

    Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

    MosaicRegressor: acechando en las sombras de UEFI

    Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada

    Amenazas

    Amenazas

    Categorías

    Categorías

    Otros sitios

    © 2024 AO Kaspersky Lab. Todos los derechos reservados.

    Suscríbete a nuestros correos electrónicos semanales

    Las investigaciones más recientes en tu bandeja de entrada