O Stuxnet continua a ser analisado pelas empresas de segurança que procuram perceber as origens da ameaça, o propósito, as consequências e os dados que vão sendo revelados mostram que ainda há muito explicar relativamente à ameaça alegadamente criada para espiar e interferir com o programa nuclear do Irão.



Uma investigação da Symantec revela agora que a primeira versão do vírus pode afinal ter estado ativa desde 2005. A informação foi apurada analisando os dados contidos no código do vírus, onde há informação sobre a versão respetiva e relacionando esses dados com informação no site do registo de domínio.



A análise não conseguiu apurar uma data exata para o início da operação desta versão 0.5 - só encontrou evidências de que estaria ativa em 2007 - mas determinou que a atividade do vírus terminou a 4 de julho de 2009, 12 dias após a criação da versão 1, até agora identificada como a primeira.



Os investigadores também detetaram que a forma de atuação desta primeira versão não era igual à da versão 1 e os objetivos do malware também são distintos.



As investigações realizadas até agora mostravam que os criados do Stuxnet teriam tido acesso a parte do código do Flamer, um malware criado antes, mas não teriam necessariamente acesso a todo o código do programa. A descoberta da nova versão vem mostrar que quem desenvolveu o Stuxnet precisou de acesso a todo o código fonte do Flamer.



Esta versão 0.5 é baseada no malware, enquanto as versões 1.x têm como principal plataforma de base o Tilded, o que sugere aos investigadores o envolvimento de diferentes equipas de programadores na criação das duas versões do vírus, tendo em conta que as duas plataformas têm muitas diferenças entre si.



Outras diferenças revelantes entre a versão 0.5 e posteriores do Stuxnet, de acordo com a Symantec, são a evolução significativa na capacidade do vírus para se disseminar e tirar partido de vulnerabilidades.



O Stuxnet 0.5 apenas atuava infetando ficheiros nos equipamentos Siemens Step 7, enquanto as versões posteriores tiravam também partido de vulnerabilidades em software da Microsoft para se movimentarem entre equipamentos.



A técnica usada para interferir no processo de enriquecimento de urânia também foi mudando, tal como os propósitos do ataque. Os investigadores encontraram código na versão 1 do Stuxnet programado para interferir com o funcionamento de dois sistemas de comando Siemens: 315 PLC (Programmable Logic Controllers) e 417 PLC. O ataque visando o primeiro tinha como intuito interferir na velocidade de centrifugação no processo de enriquecimento do urânio. Sobre o segundo - cujo código era incompleto - não tinha sido possível ainda compreender todas as implicações.



Na versão 0.5 apenas havia código completo para atacar a plataforma Siemens 417 PLC e manipular o funcionamento da válvula que regulava o processo de enriquecimento e mascarar o efeito desta ação, garantindo que os indicadores exibidos no painel de controlo não denunciavam essas alterações. Nesta versão 0.5 não havia vestígios de código para interferir com a velocidade do processo de centrifugação.

Escrito ao abrigo do novo Acordo Ortográfico

Cristina A. Ferreira

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.