Sale a la luz una version antigua de Stuxnet y disipa los misterios de esta amenaza

Analistas de Symantec han encontrado una variante del conocido Stuxnet Worm , el famoso y sofisticado programa malicioso que desactivo una planta nuclear de Iran. La variante es la mas antigua que se conoce, lo que demuestra que el malware es, por lo menos, 2 anos mas viejo de lo que se creia.

El especimen, denominado Stuxnet 0.5, es una pieza clave para comprender la evolucion del gusano, que llego a convertirse en un arma virtual de ciberguerra sin precedentes.

Se cree que Stuxnet 0.5 se estuvo desarrollando desde por lo menos noviembre de 2005 y se lanzo en 2007, dos anos antes de la aparicion de la version que se creia mas antigua. Esta vieja version se escondio en el sistema de la planta nuclear Natanz y tenia la capacidad de cerrar y abrir valvulas en secreto, lo que podia causar danos severos a las centrifugas. Tambien podia aumentar y disminuir la velocidad de las centrifugas para interrumpir su funcionamiento.

“El atacante debia tener un conocimiento muy extenso sobre como operaba Natanz para poder construir este codigo”, dijo O’Murchu. “Tambien debia conocer la ubicacion exacta de las cascadas y centrifugas y saber que estaban usando la serie 417 de controladores logicos programables de Siemens”.

Otro descubrimiento importante que se hizo gracias al analisis del codigo de Stuxnet 0.5 es que se confirmaron las sospechas de Kaspersky Lab de que los programas Stuxnet y Flame son productos del mismo creador. Kaspersky Lab habia descubierto esta posibilidad al encontrar una pequena parte de un codigo que ambos programas compartian, pero en la version antigua de Stuxnet los codigos tienen similitudes muy notables y una relacion muy estrecha.

“Podemos llegar a la conclusion de que los que escribieron el codigo de Stuxnet tuvieron acceso al codigo fuente de Flame, y lo usaron originalmente para el proyecto Stuxnet”, explico Liam O’Murchu, Director de Operaciones de Symantec Security Response. “Con la version 0.5 de Stuxnet, podemos decir que los desarrolladores tuvieron acceso a exactamente el mismo codigo. No solo compartieron componentes, utilizaron el mismo codigo exacto para construir los proyectos. Y despues, en algun momento, el desarrollo (de Stuxnet y Flame) tomo rumbos diferentes”.

Los analistas de Symantec presentaron los resultados de su investigacion este martes en la conferencia de seguridad RSA que se esta llevando a cabo en San Francisco. Tambien publicaron este documento explicando sus descubrimientos.

Fuentes:

Stuxnet’s earliest known version sheds light on the worm’s development Help Net Security

Stuxnet Missing Link Found, Resolves Some Mysteries Around the Cyberweapon Wired News
Revealed: Stuxnet “beta’s” devious alternate attack on Iran nuke program Ars Technica