SUPERVIRUS

Stuxnet II y BadBios: La ciberguerra es cada día más peligrosa

El surgimiento del malware BadBios, que se estaría propagando por medio de ultrasonidos, representa un nuevo nivel dentro de la clase de "supervirus" conocidos recientemente como Stuxnet, Flame o Duqu. Algunos funcionarios y mandos militares consideran que el BadBios podría, al igual que sus antecesores, provocar un conflicto, desactivar sistemas de defensa o situaciones similares. La amenaza del BadBios llega también de la mano del descubrimiento del Stuxnet II.

CIUDAD DE BUENOS AIRES (Urgente24) - En el pasado ya se ha alertado acerca de la posibilidad que algún sofisticado virus desate alguna clase de conflicto armado entre potencias. El surgimiento de Stuxnet, un supercódigo malicioso que infectó el programa nuclear iraní presumiblemente procedente de algún país de occidente, dio lugar a una serie de apariciones de virus informáticos ultrasofisticados que ponen en peligro grandes sistemas.
 
Luego se conocieron el Duqu y el Flame, aún más potentes que su antecesor. Ahora la nueva amenaza se llama Bad Bios, un supervirus que ataca al BIOS de la computadora y se propaga por ultrasonido. 
 
El BadBios se trata de un sistema de envío de información a través de sonidos de alta frecuencia. Afecta directamente al BIOS (Sistema Básico de Entrada/Salida, por sus siglas en inglés) de la computadora y consigue interconectar unos equipos con otros a través de ultrasonidos emitidos por los altavoces y detectados por los micrófonos de los equipos víctima, sin que el oído humano sea capaz de percibirlos. Fue descifrado por el experto en seguridad Dragos Ruiu después de haber estado sufriendo sus efectos durante casi tres años. 
 
A pesar de que numerosos expertos dudan de la existencia de malware de este tipo, Hagerott se mostró muy preocupado por las amenazas que este podría suponer para la Marina. Este tipo de virus, capaces de atravesar "las brechas aéreas" y afectar los sistemas que no estén conectados a Internet, podrían paralizar el software de precisión de tiro de las naves, apagarlo o incluso desviarlo, insistió Hagerott durante una cumbre en Washington dedicada a cuestiones de seguridad cibernética. 
 
Esto "podría interrumpir el equilibrio mundial del poder", subrayó. Según él, para evitar tal amenaza la Marina podría retroceder en el tiempo y volver a usar los instrumentos de control que se empleaban hace un siglo, a inicios de los años 1900.
 
Siempre se ha escuchado hablar de los virus y sus variantes evolutivas. Pero también de las aplicaciones de protección y las medidas de seguridad que son implementadas a diario para protegerse de estos gusanos que tanto daño hacen a la sociedad digital.
 
Lo sorprendente es que salió una publicación de una revista electrónica de Estados Unidos donde se anuncia la aparición de un virus que se trasmite a través de ultrasonido, infectando cualquier sistema operativo, desde pc, Mac, Linux, etc. Lo cierto es que se ha descubierto el papá y el señor de todos los virus.
 
Todo inicia hace tres años cuando Dragos Ruiu, consultor de seguridad trabajaba en su laboratorio y reconoce que algo poco usual pasaba en su MacBook Air. Después de instalar la última versión del sistema operativo de Apple, de la nada el equipo actualizó su versión de firmware del arranque. Más extraño aún, también intentó arrancar la máquina desde CD y tampoco pudo. Para mayor sorpresa la máquina empezó a borrar datos y hacer cambios de configuración sin preguntar. Este evento dio inicio a largas horas de trasnocho de los investigadores.
 
En los meses siguientes, Ruiu observó fenómenos cada vez más extraños que parecían salir de una de película de ciencia ficción. Para sorpresa de todos, un equipo que ejecutaba el sistema operativo BSD abierto también comenzó a modificar su configuración y borrar sus datos sin explicación o preguntar.
 
Su red empezó a mandar datos específicos de protocolo de red IPv6, incluso desde equipos que se suponía que tenían IPv6 completamente deshabilitadas. Lo más extraño de todo fue la capacidad de los equipos infectados para transmitir pequeñas cantidades de datos de la red con otras máquinas infectadas aun cuando sus cables de alimentación y los cables Ethernet fueron desconectados y su Wi - Fi y las tarjetas Bluetooth se habían retirado.
 
Hay que formatear. Típica solución ante un cáncer informático de este calibre. La sorpresa fue que demoraba más reinstalar la máquina que el virus propagarse nuevamente.
 
Cuentan los investigadores, que en uno de esos días de trabajo se encontraban en una máquina que habían reinstalado con Windows, mientras exploraban el registro en búsqueda de anomalías o evidencia observaron que el virus había tomado el control evitando que pudieran seguir con su trabajo forense ¿da susto no?
 
Después de especular, de probar una y otra cosa sin resultados, los investigadores optaron por “desvalijar”, literalmente, un equipo y ver en qué momento sucedía la infección. Lo encontrado fue sorprendente: la máquina dejo de infectarse cuando le desconectaron el controlador de sonido, es decir el virus se trasmitía por los parlantes e infectaba a los demás por el micrófono usando un ultrasonido. Recuérdese que este tipo de sonidos se emiten en frecuencias que no son detectadas por el oído humano.
 
Aunque parezca “descabellado”, el virus infectaba cualquier máquina independiente del sistema operativo, el método de activación era el ultrasonido trasmitido por los parlantes, de memorias USB infectadas. Con solo insertarlas en un computador (ya sea Windows, Linux o Mac OS X) el rootkit se transmite infectándolo.
 
No obstante, cabe resaltar que para otros expertos en seguridad esta información no es del todo real y no han tardado en exponer las dudas sobre la misma, de hecho dicen que son trucos que intentan mostrar como reales.
 
Cierto o no, cuesta trabajo creer que un virus de este calibre pueda propagarse a través de ultra sonidos y que por arte de magia sea capaz de llegar a infectar la capa de sistema operativo de un computador. Como dicen por ahí: “yo no creo en brujas pero que las hay las hay”. Si esto es real no sería extraño que una gran potencia mundial esté invirtiendo recursos para lograr cosas como estas, entonces no se trata del trabajo de un hacker de garaje, es otro nivel.
 
El gemelo del Stuxnet
 
En su artículo para 'Foreign Policy', el especialista en seguridad informática, Raph Langner escribe que, tras llevar a cabo una investigación escrupulosa de tres años, está seguro de que el virus que intentó cambiar las velocidades de los rotores en una centrífuga de la central iraní de Natanz fue bastante insignificante y rutinario. Asimismo, advierte que este ataque bastante simple fue precedido años antes por otro, mucho más sofisticado y peligroso, y acentúa que sin aquel gemelo sigiloso de Stuxnet, complicado y potente, que habría pasado desapercibido para la atención pública, el virus, probablemente, no habría escapado para afectar a medio mundo. 
 
El Stuxnet II, la última y más simple versión del malware, intentó hacer que los rotores de las centrifugas que enriquecen el uranio girasen demasiado rápidamente, a unas velocidades que habrían de causar su ruptura. El Stuxnet original, en cambio, debía sabotear los sistemas de protección de las centrifugas de Natanz.
 
Estos sistemas constan de tres válvulas de cierre instaladas en cada centrifugadora. En caso de incidente, una vibración lo pone al descubierto y las válvulas se cierran, aislando la centrifuga accidentada del resto del sistema. En otras palabras, el proceso sigue su curso mientras los ingenieros sustituyen la centrifuga dañada. El sistema de protección en Natanz se basa en los mandos industriales Siemens S7-417, que operan las válvulas y sensores de presión. El Stuxnet I estaba diseñado para tomar el control completo de estos mandos, es decir, de los sistemas informáticos incorporados, directamente conectados con un equipamiento físico como las válvulas, algo inimaginable hasta entonces.
 
Un mando infectado con el Stuxnet I es desconectado de la realidad física. El sistema del control empieza a ver solo lo que el virus quiere que vea. Lo primero que hace el malware es tomar medidas para ocultar su presencia. Graba los valores de los sensores del sistema durante un período de 21 segundos. Luego reproduce estos 21 segundos en una trayectoria circular mientras se realiza el ataque (los asaltos se sucedían una vez al mes), de tal forma que para el centro de control todo va bien, tanto para los operadores humanos como para cualquier sistema automático.
 
Mientras tanto, el Stuxnet I empieza su trabajo sucio: Cierra las válvulas de aislamiento para las dos primeras y las dos últimas etapas del enriquecimiento, bloqueando de tal modo la salida del hexafluoruro de uranio (el gas que sirve para obtener el uranio enriquecido) y aumentando la presión sobre las centrifugas. El aumento de la presión da lugar a que en las centrifugas se acumule más gas de lo debido, generando más estrés para el rotor mecánico. La presión puede provocar, además, que el hexafluoruro de uranio gaseoso se solidifique y dañe la centrifuga fatalmente.
 
Según destaca Langner, la solidificación del gas en Natanz desembocaría en una destrucción simultánea de centenares de centrifugas por cada mando infectado. Sin embargo, el experto insiste que esto no fue el objetivo de los 'hackers', porque, en este caso, los especialistas iraníes no habrían tardado mucho en descubrir el origen del desastre. En cambio, hacían todo lo posible para frenar los ataques a tiempo, antes de que se desencadenara una reacción catastrófica. Su objetivo fue más bien incrementar la carga sobre los rotores para que quedaran fuera del servicio, pero no en el momento del propio asalto, concluye Langner. Al mismo tiempo, el especialista destaca que se desconoce el resultado final de esta estrategia y que a partir de 2009 los agresores cambiaron del instrumento.
 
Cabe destacar que Langner no es el único especialista que denuncia la existencia de las dos versiones de Stuxnet. A inicios de este año los investigadores de Symantec Corp (SYMC.O) también declararon que había sido una versión del virus informático Stuxnet la que se utilizó para atacar el programa nuclear de Irán en noviembre de 2007.

 

Dejá tu comentario