Investigadores provam que Stuxnet podia estar em atividade desde 2005

27 fev 2013 10:25

Este artigo tem mais de 12 anos

O Stuxnet pode ter estado em funcionamento desde 2005. A primeira versão do vírus era mais limitada nas técnicas de ataque e atuava de forma diferente. Foi desativada poucos dias depois da criação da versão 1, identificada até agora como a primeira.

O Stuxnet continua a ser analisado pelas empresas de segurança que procuram perceber as origens da ameaça, o propósito, as consequências e os dados que vão sendo revelados mostram que ainda há muito explicar relativamente à ameaça alegadamente criada para espiar e interferir com o programa nuclear do Irão.

Uma investigação da Symantec revela agora que a primeira versão do vírus pode afinal ter estado ativa desde 2005. A informação foi apurada analisando os dados contidos no código do vírus, onde há informação sobre a versão respetiva e relacionando esses dados com informação no site do registo de domínio.

A análise não conseguiu apurar uma data exata para o início da operação desta versão 0.5 - só encontrou evidências de que estaria ativa em 2007 - mas determinou que a atividade do vírus terminou a 4 de julho de 2009, 12 dias após a criação da versão 1, até agora identificada como a primeira.

Os investigadores também detetaram que a forma de atuação desta primeira versão não era igual à da versão 1 e os objetivos do malware também são distintos.

As investigações realizadas até agora mostravam que os criados do Stuxnet teriam tido acesso a parte do código do Flamer, um malware criado antes, mas não teriam necessariamente acesso a todo o código do programa. A descoberta da nova versão vem mostrar que quem desenvolveu o Stuxnet precisou de acesso a todo o código fonte do Flamer.

Esta versão 0.5 é baseada no malware, enquanto as versões 1.x têm como principal plataforma de base o Tilded, o que sugere aos investigadores o envolvimento de diferentes equipas de programadores na criação das duas versões do vírus, tendo em conta que as duas plataformas têm muitas diferenças entre si.

Outras diferenças revelantes entre a versão 0.5 e posteriores do Stuxnet, de acordo com a Symantec, são a evolução significativa na capacidade do vírus para se disseminar e tirar partido de vulnerabilidades.

O Stuxnet 0.5 apenas atuava infetando ficheiros nos equipamentos Siemens Step 7, enquanto as versões posteriores tiravam também partido de vulnerabilidades em software da Microsoft para se movimentarem entre equipamentos.

A técnica usada para interferir no processo de enriquecimento de urânia também foi mudando, tal como os propósitos do ataque. Os investigadores encontraram código na versão 1 do Stuxnet programado para interferir com o funcionamento de dois sistemas de comando Siemens: 315 PLC (Programmable Logic Controllers) e 417 PLC. O ataque visando o primeiro tinha como intuito interferir na velocidade de centrifugação no processo de enriquecimento do urânio. Sobre o segundo - cujo código era incompleto - não tinha sido possível ainda compreender todas as implicações.

Na versão 0.5 apenas havia código completo para atacar a plataforma Siemens 417 PLC e manipular o funcionamento da válvula que regulava o processo de enriquecimento e mascarar o efeito desta ação, garantindo que os indicadores exibidos no painel de controlo não denunciavam essas alterações. Nesta versão 0.5 não havia vestígios de código para interferir com a velocidade do processo de centrifugação.