Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/01/2012
El virus Stuxnet té almenys 4 'cosins'
El virus Stuxnet, que l’any passat va danyar al programa nuclear d’Iran, és possiblement una de les almenys cinc armes cibernètiques desenvolupades a partir de la mateixa plataforma, les arrels del qual es remunten al 2007, segons noves investigacions de la firma de seguretat russa Kaspersky Lab.
Experts en seguretat creuen que els Estats Units i Israel són els responsables de Stuxnet, encara que ambdós països han refusat oficialment realitzar comentaris sobre el tema.
Un portaveu del Pentàgon ha declinat comentar la investigació de la firma Kaspersky, per no referir-se als qui haurien elaborat el virus.
Stuxnet ja havia sigut relacionat amb un altre virus, el troià Duqu -dissenyat per al robatori d’informació-, però la investigació de Kaspersky suggerix que el programa d'armes cibernètiques que va atacar Iran podria ser molt més sofisticat que el que es coneixia anteriorment.
El director d’anàlisi i investigació mundial de Kaspersky, Costin Raiu, ha confirmat a Reuters que el seu equip ha reunit evidències que mostren que la mateixa plataforma que va ser utilitzada per a armar a Stuxnet i Duqu també va ser la font, almenys, d'altres tres programes informàtics nocius.
Raiu ha dit que la plataforma està integrada per un grup de mòduls de programari compatibles, dissenyats per a unir-se cada un amb funcions diferents. Els seus desenvolupadors poden construir noves armes cibernètiques simplemente agregant o retirant mòduls.
"És com un joc Lego. Pots armar qualsevol cosa amb els seus components: un robot, una casa o un tanc!", ha explicat. Kaspersky va anomenar a la plataforma com 'Tilded', perquè molts dels arxius en Duqu i Stuxnet tenen noms que comencen amb el símbol titla i la lletra 'd'.
Els investigadors de Kaspersky no han trobat cap tipus nou de programari nociu, fet a partir de la plataforma 'Tilded', ha comentat Raiu, però hi ha un grau de certesa que existixen pel fet que els components que Stuxnet i Duqu compartixen, semblen buscar per altres del seu tipus.
FUNCIONAMENT SEMBLANT
Quan una màquina s’infecta amb Duqu o Stuxnet, els componentes compartits en la plataforma busquen dos entrades úniques del registre del computador personal relacionades a Duqu o Stuxnet, que després són utilitzades per a carregar l’element principal del programari maliciós en el sistema, ha explicat Raiu.
Kaspersky recentment ha descobert nous components compartits, que busquen per almenys altres tres entrades úniques del registre, la qual cosa suggerix que els desenvolupadors de Duqu i Stuxnet també van construir, almenys, uns altres tres programes nocius utilitzant la mateixa plataforma, ha agregat.
Eixos mòduls administren tasques que inclouen la injecció del programari maliciós al computador, la seua instal·lació, la comunicació amb els seus operadors, el robatori de dades i la duplicació del virus.
Fabricants de programes d’antivirus, inclosos Kaspersky, la firma nord-americana Symantec Corp i la japonesa Trend Micro, ja han incorporat tecnologia en els seus productes per a protegir els equips i previndre que s’infecten amb Stuxnet i Duqu.
No obstant això, seria relativament fàcil per als desenvolupadors d’eixos virus, altament sofisticats, crear altres armes que puguen evadir la detecció d’eixos programes antivirus amb els mòduls de la plataforma Tilded, ha confirmat Raiu.
Kaspersky creu que Tilded es remunta almenys al 2007, pel fet que un codi específic instal·lat per Duqu va ser compilat des d’un aparell que operava amb el sistema Windows, el 31 d’agost de 2007.