Stuxnet, nueva frontera del malware
Kaspersky Lab ha organizado en Munich (Alemania) una nueva edición de su Kaspersky Security Simposium, un evento en el que la principal figura de la compañía, su CEO y fundador Eugene Kaspersky, señalaba que nos encontramos en "un punto de inflexión", con la aparición de nuevas técnicas de ataque sin objetivos ni atacantes claros. De hecho, la principal amenaza es un tipo de ataque denominado Stuxnet que, a primera vista, no busca ni notoriedad ni beneficio económico directo, como ha venido ocurriendo hasta la fecha.
Si en los ochenta y principios de los noventa el malware estaba protagonizado por acciones que buscaban fama y notoriedad y, normalmente, era creado por adolescentes sin ánimo de lucro, el cambio de siglo trajo consigo el desarrollo de un nuevo malware cuya principal finalidad era pasar desapercibido con el fin de obtener una rentabilidad económica, bien directa o bien indirecta, obteniendo información personal de sus víctimas. Pues bien, en 2010 se acaba de dar a conocer un nuevo tipo de ataque que no busca notoriedad ni amplitud de infección, sino que se trata de un ataque dirigido a un cliente concreto con el fin de controlar sus procesos productivos, sin que por el momento se haya podido identificar ni el objetivo final del ataque ni quién está detrás de los mismos.
Evidentemente, el malware con fines económicos sigue a la orden del día, y se estiman unas pérdidas cercanas a los 10.000 millones de euros al año sólo en Alemania, si bien es difícil hacer una estimación total porque no todo el mundo denuncia los ataques ni reconoce el verdadero efecto de los mismos.
Pero sucediendo a este tipo de malware, igual que éste reemplazó los ataques en busca de notoriedad, como principal amenaza, aparece ahora un tipo de acción, denominada stuxnet, consistente en un ataque encubierto, utilizando técnicas de rootkit para esconderse y con controladores específicos para evitar el software de seguridad, que se dirigen de forma específica a una única víctima con el principal objetivo de hacerse con el control de los ordenadores que controlan los procesos productivos.
Al contrario que otros ataques hasta la fecha, al ser diseñados de forma específica para atacar a una única víctima es muy difícil establecer patrones de búsqueda para posteriores amenazas. Es más, pueden hacerse con certificados de seguridad válidos (que no legales) para que el usuario ni siquiera sea consciente de que el software que instala es una posible amenaza.
Tal y como señalaba en su presentación Stefan Tanase, investigador de seguridad sénior para EMEA del grupo de análisis e investigación global de Kaspersky Lab, “nunca hasta ahora se había visto un ataque tan sofisticado”.
Es más, esta sofisticación hace que sea casi imposible que se produzcan ataques de este tipo en masa, porque requieren mucho trabajo y recursos para prepararlos y llevarlos a cabo de manera exitosa. Por el contrario, esto mismo provoca que sean difícilmente localizables y eliminables.
Como decíamos, otra de las principales incógnitas sobre este tipo de ataques es el hecho de que el objetivo final de los mismos no se conozca realmente. Hasta la fecha, los ataques buscaban un rédito económico, bien por la obtención directa de fondos, por la sustracción de claves y números de cuenta; bien de forma indirecta, por la venta a terceros de la información personal o profesional incautada a las víctimas; o bien, incluso, por la utilización de los recursos informáticos de la víctima como un factor más en los ataques sin que ésta sea consciente. Incluso, en los últimos años se han descubierto ataques que buscaban obtener información empresarial para ser vendida a los competidores directos de las víctimas, o la obtención de información personal de usuarios para asumir su personalidad on-line. Pero en todos estos casos, la motivación económica era clara y notoria, algo que, como reconocen los responsables de Kaspersky Lab, sigue sin estar claro en este caso, “y puede que no lleguemos a saberlo con exactitud”, reconocía el propio Eugene Kaspersky.
Tampoco se sabe quién está detrás de los ataques, y bien pueden ser grupos delictivos, empresas o, incluso, países, porque lo único claro es que “es necesaria una altísima cantidad de recursos y trabajo para diseñar, ejecutar y controlar uno de estos ataques.
Un ejemplo de estos ataques es el que se ha producido durante este fin de semana y ha sido reconocido por las autoridades de Irán, que se han visto obligadas a reconocer un ataque que ha afectado a más de 30.000 PC con Windows en sus organismos y empresas, incluyendo algunas relacionadas con la gestión y producción de energía nuclear.
