News

Mirtos y Guayabas, Episodio 5

Hasta ahora en nuestra serie de entradas sobre Stuxnet nos hemos enfocado en los problemas principales: lo peligroso que es que una vulnerabilidad antes desconocida pueda procesar archivos LNK y el hecho de que los cibercriminales obtuvieron de alguna manera certificados digitales. Pero no hemos compartido los detalles sobre la funcionalidad del gusano.

Seguro que aquellos que han seguido la historia de Stuxnet ya se han enterado de que el gusano, además de replicarse, intenta acceder a sistemas industriales que ejecutan WinCC de Siemens.

No recuerdo qué periodista o analista antivirus mencionó por primera vez las plantas de energía (algunas de las cuales funcionan con WinCC) y las relacionó con Stuxnet. Desde entonces, se ha elevado la historia al nivel de una película de Hollywood, con rumores sobre ‘ataques a la industria’ y ‘espionaje intergubernamental’.

(Cómo funciona WinCC; imagen de un documento de Siemens)

Stuxnet intenta conectarse al sistema de visualización WinCC SCADA usando la contraseña predeterminada de Siemens. Un componente muy interesante forma parte del gusano, un dll que sirve como envoltorio para el dll original de Siemens. Este envoltorio intenta conectarse a WinCC y redirige la mayoría de las funciones al dll original mientras emula las funciones restantes.

Las funciones son:

s7db_open
s7blk_write
s7blk_findfirst
s7blk_findnext
s7blk_read
s7_event
s7ag_test
s7ag_read_szl
s7blk_delete
s7ag_link_in
s7db_close
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg

El módulo también contiene varios bloques de datos codificados, como este:

Siemens está realizando sus propias investigaciones y análisis del malware. Ha publicado información oficial sobre el incidente, en la que se confirma un caso de infección de un cliente WinCC en Alemania.

Parte del informe dice:

“Hasta ahora sólo se conoce un caso de un ordenador WinCC infectado. El virus infiltró un simple ambiente de ingeniería de un integrador de sistemas, pero lo eliminamos pronto. Por ahora ninguna planta de producción ha sido afectada”

“Sólo hemos descubierto un caso de infección en Alemania. Estamos comprobando si el virus causó algún daño”.

Siemens también confirmó que el gusano puede transmitir datos de procesos y producción, y que intenta establecer una conexión con los servidores del cibercriminal, pero por ahora los servidores están inactivos.

P.D. Siemens acaba de publicar una actualización:

“Hasta el momento conocemos dos casos en todo el mundo de ordenadores de WinCC infectados. Por ahora ninguna planta de producción ha sido afectada”.

Mirtos y Guayabas, Episodio 5

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada