Stuxnet: Um virus contra a bomba

É curioso pensar na ideia de um programador criando um vírus de computador como o stuxnet,  e como esse cara, ate hoje mal visto, tachado de vândalo, de canalha ou de qualquer impropério que você desejar, pode, na verdade, estar trabalhando em prol do bem da humanidade.

Apesar de silenciosa, a corrida atômica no planeta Terra segue sem parar com armas cada vez mais poderosas, capazes de espalhar a morte por centenas de milhares de quilômetros. A cada dia que passa, mais e mais países tentam conseguir seu naco de importância no jogo da geopolítica mundial através da posse de uma arma de destruição em massa, como bombas nucleares. Não precisa ser a Mãe Dinah para prever que nesse ritmo, cedo ou tarde viveremos uma cagada de proporções cataclísmicas nesse planeta, a despeito de tudo que se mostrou e escreveu sobre o quão devastadora essa arma pode ser, desencadeando até o fim da Segunda Guerra Mundial. É estranhamente irônico que uma arma de guerra, considerada a última alternativa, tenha sido a portadora da morte e também da paz. O fato é que essa “paz” nunca esteve realmente consolidada, sendo uma mera sensação social importante para a construção de uma nova matriz planetária que nos permitiu respirar um pouco mais aliviados e construir riquezas para nós mesmos e nossos descendentes desfrutarmos.

Não por acaso, Martyl Langsdorf teve a brilhante ideia de construir um dispositivo que nos mostre sem muita conversa fiada o quão ferrados podemos estar. Daí surgiu o Relógio do Juízo Final ou Relógio do Apocalipse (ou Doomsday Clock). O que esse aparelho faz não é marcar as horas, apesar de seu nome. Ele é simbólico, e vem sendo mantido desde 1947 pelo comitê de diretores do Bulletin of the Atomic Scientists da Universidade de Chicago.

O dispositivo utiliza uma analogia onde a raça humana está a “minutos para a meia-noite”, onde a meia-noite representa a destruição por uma guerra nuclear. O número de minutos para a meia-noite, uma medida do nível nuclear, de aparelhamento e tecnologias envolvidas, é atualizado periodicamente. Ao que parece, o efeito Trump tem afetado o relógio, tanto que acrescentou 30 segundos desde que começou a governar.

O fato é que há uma permanente preocupação com quem de fato poderá ter uma bomba atômica. A maior preocupação dos Estados Unidos/Israel  é que o Irã venha a conseguir produzir uma bomba atômica. É aqui nesse contexto que surge um programa de computador que hoje é considerado por muitos especialistas, mais que somente uma peça de software. O virus Stuxnet seria, segundo muitos que analisaram seu código, uma obra de arte.

Para que possamos ter a dimensão do que esse programa diminuto pode fazer, é preciso entender primeiramente, o que ele já fez.

O Stuxnet é considerado hoje como o ataque de cyberespionagem mais sofisticado já realizado na história. Ninguém sabe quem fez o programa. Uma pena, na medida em que alguém queimou MUITO a mufa para criar essa joça. O Stuxnet, é um vírus tipo Worm, e especula-se que tenha sido obra de um governo.

Diferente de todas as porcariadas criadas diariamente para roubar senhas de banco ou fazer você visitar sites sem saber e inflar pageviews, ou minerar bitcoins nas suas costas, essa a praga não tem o intuito de roubar dados bancários ou exibir anúncios. Na verdade, ela ataca sistemas usados no controle de equipamentos industriais, e efetivamente ela infectou sistemas usados em instalações nucleares do Irã e da Índia.

Para conseguir essa façanha, o vírus utilizou brechas graves e antes desconhecidas no Windows, impedindo que qualquer proteção fosse capaz de pará-lo. Agora, pesquisadores estão descobrindo que ele também é bem difícil de ser removido.

Os principais alvos do vírus são sistemas de controle de automação e monitoramento industrial, conhecidos pela sigla SCADA. O vírus é capaz de infectar projetos de programação na linguagem Step 7, usados em sistemas desse tipo desenvolvidos pela Siemens. Esse comportamento estaria levando o vírus a reinfectar alguns computadores. No entanto, segundo a Siemens, os equipamentos atacados pelo Stuxnet não são certificados para serem usados em usinas nucleares. Não se sabe se o Irã teria desconsiderado essa recomendação e usado um equipamento do gênero mesmo assim. O Irã se limitou a dizer que a praga teria infectado 30 mil computadores.

Uma obra de arte

O Stuxnet foi escrito, provavelmente, entre 2005 e 2010. Até agora se estuda detalhadamente o que ele faz. Aparentemente já existe uma compreensão básica de seus processos e o que eles apontaram deixaram os pesquisadores de queixo caído.  Este worm entra no sistema à bordo de um pen driva que vai ser conectado  numa unidade USB. Como ele chega lá, provavelmente exige algum agente 007 ou similar, mas ele pode simplesmente ser jogado no chão e se espera que um trouxa o encontre e plugue num Pc aleatório. Outra possibilidade é que um agente infiltrado implante o código num Pen drive que será dado de brinde ou mesmo que tenha sido comprado por um funcionário estatal inadvertidamente como um produto novo. 

O fato é que ele está no pen drive e quando essa unidade USB é inserida em um PC com Windows, sem que o usuário saiba, o worm se deslocará silenciosamente e se copiará para dentro do PC. 

Até aí, chongas, eu sei. Tá LOTADO de vírus de meia tigela que faz isso desde os tempos da BBS. Mas aqui começam os “poderes” do Stuxnet: Ele tem pelo menos três maneiras de ser executado. Se uma maneira não funciona, ele entende e tenta outra. Pelo menos dois desses métodos para poder executar no sistema, eram completamente novos quando ele foi disseminado como arma, e ambos usaram dois bugs secretos independentes no Windows que ninguém mais conhecia, até que e só foram efetivamente descobertos por causa desse worm.

Antes de continuar, vou deixar uma pergunta retórica aqui: Será que a Microsoft não sabia, ou apenas fez sua parte no teatro, quando o vírus que ela concordou deixar explorar suas vulnerabilidades propositais foi descoberto? 

Continuando nosso amiguinho: Quando o worm é executado em um PC, ele tenta obter acesso de administrador nesse PC.

Ah, mas e se o cara tem um antivírus? O worm é tão fodão, meu camarada, que ele CAGA para o antivírus. Pode ser o antivírus mais escalafobético da face da Terra. O Stuxnet caga. Isso porque ele é tão cabuloso que pode se infiltrar na maioria dos softwares antivírus existentes!

Então, com base na versão do Windows em que ele está sendo executado, o worm tentará um dos dois métodos (lembrando, até então essas vulnerabilidades eram desconhecidas) de obter acesso de administrador nesse computador. Agora que ele conseguiu isso, o worm agora pode cobrir suas trilhas, se ocultando de tal maneira no sistema que é como se fizesse parte integrante dele. Ficando em um nivel abaixo do sistema operacional, ele garante mais ainda que nenhum software antivírus possa detectar sua existência.
Mas ele está lá, se preparando para foder a vida de um sujeito específico. Mas como o worm se pluga secretamente a esse PC, mesmo que você procure no disco por onde o worm deveria estar, você não verá nada. O fato é que o programa se esconde tão bem, que o software esteve rodando pela Internet por mais de um ano sem que nenhuma empresa de segurança no mundo reconhecesse que ele existia.

Bom, e lá vai ele: Uma vez que ele está la, quentinho, malocadinho nas entranhas do seu computador, ele vai verificar se você tem acesso à internet. Se tiver, ele vai fazer algo estranho. Ele tenta visitar os sites:  https://www.mypremierfutbol.com ou https://www.todaysfutbol.com . Um desses servidores está na Malásia e outro na Dinamarca. Ali ele vai baixar um pacote encriptado que permite que ele faça uma metamorfose. Sim, maluco. O virus vai ter uma mutação! 

Neste ponto, ele já está apto para se disseminar, e faz cópias de si mesmo para qualquer outro pen drive que você conecte. Ele faz isso instalando um driver de disco cuidadosamente projetado para parecer oficial, mas falso.

Este driver foi assinado digitalmente pela Realtek, o que significa que os autores do worm conseguiram, antes de realizar essa proeza computacional, invadir o local mais seguro de uma grande empresa taiwanesa e roubar a chave mais secreta que a empresa possui, sem que a Realtek soubesse disso. Conseguir essa proza já é digno de um filme de espionagem, mas espere só para saber que eles fizeram duas fuking vezes! Sabe-se disso porque depois, o driver começou a ser assinado com chaves secretas da JMicron, outra grande empresa taiwanesa.

Stuxnet em ação

Parece incrível? Mas ele nem sequer começou a trabalhar!

Neste ponto, o worm faz uso de dois bugs do Windows recentemente descobertos. Um bug está relacionado a impressoras de rede e o outro está relacionado a arquivos de rede. O worm usa esses bugs para se instalar na rede local, em todos os outros computadores da empresa onde ele penetrou.

Agora, o virus procura inteligentemente por um software de controle muito específico, projetado pela Siemens para automatizar grandes máquinas industriais. Uma vez encontrado, ele usa mais um bug até então, desconhecido para se copiar na lógica programável do controlador industrial.

Não obstante, uma vez que ele consegue essa invasão sensacional, e se acopla nesse controlador, ele estará lá para sempre . Não existe nenhuma forma de substituição ou desinfecção que possa eliminar o worm agora. Agora sim, ele finalmente começa a trabalhar. O stuxnet verifica os motores elétricos industriais conectados de duas empresas específicas. Uma dessas empresas está no Irã e a outra na Finlândia.

 Os motores específicos que ele procura são chamados inversores de frequência variável. Eles são usados ??para executar centrífugas industriais. Você pode purificar muitos tipos de produtos químicos em centrífugas… Mas como você não é trouxa, já sacou que o Worm quer foder: O beneficiamento de urânio!

Qualquer pessoa normal pode deduzir que uma vez que o worm adquiriu controle completo das centrífugas, ele pode acelerá-las até o ponto de ruptura do mancal e destruir a merda toda… Só que ele  não faz isso. Ele é tão, mas tão genial, que ele não destrói a parada! O worm tem outros planos .

Uma vez que ele controla cada centrífuga em suas instalações … Ele entra em hibernação!

Parece bizarro que um programador se dê ao trabalho de criar toda essa epopeia monumental através de falhas de sistema operacional, invada empresas para roubar chaves de registro de drivers, que entenda a linguagem de maquina e faça um programa que se acople a ela e vire uma parte integrante do controlador para se desligar quando finalmente está “na cara do gol”.

Mas de fato, aqui está a arte. Ele entra invade, se mistura e desliga. Fica dormindo. Os dias passam. Ou semanas. Ou segundos.

Por que ele desliga quando consegue acesso ao programa que controla as centrífugas?

Bem, o alvo são as centrífugas, e Para construir uma bomba atômica, você precisa desse elemento – é a explosão dele que gera as energias atômicas de uma bomba nuclear. Mas o urânio que as mineradoras extraem é inútil, pelo menos logo que sai da Terra. Existem dois tipos: o Urânio 238 e o 235. A espécie mais energética, que serve para usinas nucleares e bombas, é o 235. O 238 é praticamente lixo. Só que eles existem grudados na natureza. Uma pedra de urânio é sempre formada por essas duas variedades. E a quantidade de urânio ruim é sempre bem maior: em cada tonelada de urânio, existem só 7 quilos do 235.

Então alguém precisa separar o joio do trigo. Aí é que entram as centrífugas. São cilindros que giram a mais de 1 000 rotações por segundo. O movimento lança os átomos de U238 (mais pesados) contra a parede do equipamento. E lá no meio o que sobra é um urânio cada vez mais rico em U235.

Se você quiser uma bomba atômica, vai precisar de U235 praticamente puro. Para conseguir isso, milhares de centrífugas processam urânio bruto o tempo todo.

Então, do nada, inesperadamente, o worm decide que chegou a hora de agir. E se desperta silenciosamente. Agora, o stuxnet escolhe aleatoriamente algumas dessas centrífugas enquanto elas enriquecem o urânio. O worm trava o controle das centrífugas, de modo que, se alguém perceber que algo está errado, um humano não pode mais desligar as centrífugas. Então, o que o stuxnet faz? Ele começa a girar essas centrífugas … um pouco errado.

Não é uma quantia maluca errada. É só um pouquinho. Apenas um pouco rápido demais. Ou um pouco lento demais. Essas microscópicas alterações fora dos parâmetros seguros vão ferrar todo o plano de beneficiamento. Ao mesmo tempo, o stuxnet aumenta a pressão do gás nessas centrífugas. O gás nessas centrífugas é chamado UF6.

O Stuxnet faz a pressão desse UF6, apenas um pouquinho além dos parâmetros predefinidos, o suficiente para que o gás UF6 nas centrífugas tenha uma pequena chance de se transformar em rocha , enquanto a centrífuga está girando. Genial, não?

Mas ainda não acabou. O fdp faz isso pra estragar o urânio, mas antes de começar, ele deixa rolar um tempo dando certo. Olha a genialidade: Ele GRAVA os dados de 21 segundos da tela do programa gerenciador da centrífuga quando tudo está funcionando bem. Depois,ele começa a foder o gás e a velocidade de giro, mas na tela ele esta passando em loop os 21 segundos pré gravados, quando tudo ia bem.

Quem olha na tela, vai ver tudo dando certo, kkkk. Enquanto isso, o vírus invisível está estragando o urânio.

O urânio tem que ser puro. Mas por uma bizarra razão (lembre-se, o cientista lá não sabe que exista tal peça genial de software rodando) o urânio nunca é puro o suficiente para fazer qualquer coisa útil. O cara então verifica tudo de novo e de novo, sem entender por que tudo está dando merda. As centrífugas estão eventualmente quebrando, mas não há lógica, porque os defeitos são aleatórios. Você se convence de que tem um azar do cacete.

Os cientistas tinham cumprido uma antiga promessa feita ao presidente Mahmoud Ahmadinejad: colocar em operação total mais de 8 mil centrífugas de enriquecimento de urânio em Natanz, na região central do Irã. Era o início de 2010 e agora o país estava prestes a produzir suas primeiras bombas atômicas. Mas, o stuxnet estava lá. E foi assim que mais de mil centrífugas acabaram destruídas. O Stuxnet tinha cumprido sua missão, atrasando a criação de uma bomba nuclear do Irã. Há quem sugira que o plano do stuxnet não tenha sido levado à cabo completamente, porque ele não conseguiu atingir 100% das centrífugas. Mas seu estrago foi significativo.

Levou meses para que fosse descoberto, depois da sua ação épica digna de filme de hollywood. Ele foi achado finalmente na Bielo-Rússia, quando técnicos da VirusBlokAda, uma empresa de programas antivírus estavam examinando o computador de um cliente iraniano em busca de ameaças à segurança da máquina.

Dados da Kaspersky indicam que a Índia é o país com mais atividade do Stuxnet, seguido da Indonésia e do Irã. A construtora russa de usinas nucleares Atomstroyexport, que trabalha na usina em Bushehr, que assumiu ter sido infectada, também trabalha na usina indiana de Kudankulam, o que poderia explicar a disseminação do vírus da Índia para o Irã.

Já dados da Symantec, um pouco mais antigos, apontam o Irã como sendo realmente o país com o maior número de computadores infectados.

A sofisticação do Stuxnet, que usa diversas falhas sem correção para atacar e se manter nos sistemas, nunca foi vista em outro código malicioso de qualquer natureza até hoje, e nos dá um estranho sabor de um breve vislumbre de que pode existir coisas ainda mais complexas rodando por aí. Tão complexas, que a gente nem sabe que existe. Especialistas calculam que seria necessária uma equipe de 6 a 10 pessoas trabalhando por 6 meses para criar um vírus tão esperto. Sem falar no aparato de espionagem: o Stuxnet sabia como as centrífugas iranianas funcionavam. Segundo as empresas antivírus, o Stuxnet tenta limitar sua própria ação. Ele só infecta computadores que possuem uma placa de rede específica e tenta impedir sua propagação para mais de três computadores e por mais de três semanas. Os especialistas especulam que os criadores do Stuxnet não queriam que ele tivesse se disseminado tanto, o que foi um pequeno deslize em toda essa operação.

Fontes ligadas ao governo americano disseram ao New York Times, sob anonimato, que o serviço de inteligência dos EUA estudou como invadir os sistemas da Siemens usados nas instalações iranianas. Essas informações, segundo eles, foram passadas para Israel, que teria testado a eficácia do Stuxnet nas centrífugas em que faz seu próprio urânio enriquecido. Também há uma evidência mais pitoresca. Um dos arquivos do Stuxnet se chama Myrtus (“Esther”, em hebraico). Seria uma referência ao Livro de Esther, do Antigo Testamento. Ele relata um complô persa para destruir os judeus.

Um alto funcionário da Inteligência americana afirmou à publicação que o Flame e o Stuxnet eram elementos de uma ação muito maior que continua até hoje. “As investidas cibernéticas contra o programa iraniano estão muito mais adiantadas.”

No ano seguinte, os EUA parecem ter tentado “repetir uma mesma mágica para plateias diferentes“.

Para o ataque à Coreia do Norte, o governo americano teria usado uma versão modificada do Stuxnet. Esta estaria preparada para ser ativada assim que fosse instalada em um computador com definições em coreano. A ideia de usar uma versão alterada do Stuxnet deve-se à utilização de sistemas nucleares semelhantes por estes dois países, que colaboram entre si no desenvolvimento dos seus programas nucleares. Sendo assim, seria simples para os Estados Unidos criarem um sistema de ataque similar e assim conseguirem deixar inutilizáveis os sistemas de controle do programa nuclear da Coreia do Norte.

A verdade por trás do ataque é que ele fracassou por não surtir qualquer efeito relevante. O Stuxnet não conseguiu atingir qualquer equipamento sensível dentro da vasta rede de computadores que controlava o programa nuclear norte-coreano.

De acordo com as fontes da Reuters, a falha deste ataque estaria relacionada com o controle extremo que as autoridades de Pyoungyang fazem no acesso à internet e também no isolamento em comunicações que o país tem. Obviamente, nenhuma autoridade americana comentou o caso, negando desde o início a responsabilidade de qualquer ataque com o Stuxnet.

Se você acha que parou no Stuxnet, espere só pra saber sobre o Flame.

O Flame é outro software malicioso também. O Stuxnet não causava dano algum a computadores domésticos, e se destinava a ferrar somente as usinas de enriquecimento de urânio. Mas diferente do Stuxnet, o Flame é do tipo “pega-um-pega-geral”, mas pelo menos ele não causa danos ao PC: ele foi projetado para roubar informações das máquinas infectadas.

Vitaly Kamlyuk, especialista chefe em malware da Kaspersky, disse ao site RT que o vírus pode coletar informações de campos de texto, incluindo senhas representadas por asteriscos, gravar áudio usando o microfone do computador e capturar imagens de aplicativos considerados interessantes, como um cliente de e-mail ou programa de bate-papo. Ele também pode coletar informações sobre aparelhos Bluetooth “descobríveis” nos arredores. Toda essa informação é enviada a servidores de comando e controle, e há cerca de uma dúzia deles espalhados pelo mundo. Eu suspeito que essas centrais sirvam para “filtrar e peneirar” informações com potencial de modo que agentes possam identificar alvos potenciais.

O vírus lembra o worm Stuxnet que causou prejuízos no Irã em 2010, mas segundo a Kaspesky o Flame é muito mais complexo, com um conjunto de módulos que pode ocupar mais de 20 MB de espaço em disco.

Observe que toda a arte que o stuxnet era capaz de fazer estava armazenada em ridículos 500 KB de dados. Em comparação o Flame é mais de 40 vezes maior. Pense comigo, se o Stuxnet era pura arte… O que será que o Flame faz?

Ninguém sabe ainda na totalidade, apesar de que sabe-se que o Flame está à solta desde 2010, de acordo com a Kaspersky.  Sua data de criação é incerta. Ele foi descoberto há cerca de um mês após o Ministério do Petróleo do Irã descobrir que os servidores de várias empresas haviam sido atacados. Esta descoberta levou à evidência de mais ataques a outros ministérios e indústrias iranianas. O Irã alega que os ataques também apagaram os HDs de algumas máquinas, mas a Kaspersky diz que o malware responsável por isso, chamado Wiper, não é necessariamente relacionado ao Flame. Os ataques do Wiper foram isolados ao Irã, enquanto o Flame foi encontrado em outros países.

De cara já temos aí um novo personagem no teatro de cyberguerra. O criador do Flame é desconhecido, mas é provável que obviamente, uma nação esteja por trás dele. O vírus não foi projetado para roubar dinheiro de contas bancárias, e é muito mais complexo do que qualquer coisa comumente usada por “hacktivistas”, então esta é a única possibilidade que faz sentido até o momento.

Observe ainda que estamos no limiar de 2020, e que essas peças de software descritas aqui, em termos tecnológicos são peças de museu. Elas possuíam uma avançadíssima tecnologia datada de quase uma década atrás! Então, pense só o que já está rodando por aí hoje!

Não é impossível que agora, neste exato momento, um software chinês, um americano e talvez mais alguns de outros países estejam coabitando os mais remotos meandros lógicos do seu HD, esperando apenas o momento certo de despertar.

 fonte , fonte,  fonte, fonte , fonte , fonte