Universidad Nacional Autónoma De Honduras Facultad de Ingeniería en Sistemas Seguridad informática Virus Stuxnet Catedrático: Rafael Diaz del valle Integrantes Kenny Jared molina #Cuenta 20151002505 <#> introducción se hablará acerca del virus stuxnet . trataremos de dar una breve introducción a lo que es el virus, cuáles fueron las causas por las que el virus fue creado. cómo funciona este virus y como son los medios de propagación. Se relata una breve historia de lo que stucnet logro hacer. Objetivos Objetivo general hacer un ensayo acerca del virus Stuxnet objetivos específicos describir los objetivos de la creación del virus describir los daños cometidos describir cómo se propaga <#> Stuxnet es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlockAda, una empresa de seguridad ubicada en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares. Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados. También es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC. En enero de 2010, los inspectores de la Agencia Internacional de Energía Atómica que visitaban una planta nuclear en Natanz, Irán, notaron con desconcierto que las centrifugadoras usadas para enriquecer uranio estaban fallando. Curiosamente, los técnicos iraníes que reemplazaban las máquinas también parecían asombrados. El fenómeno se repitió cinco meses después en el país, pero esta vez los expertos pudieron detectar la causa: un malicioso virus informático. El "gusano" - ahora conocido como Stuxnet - tomó el control de 1.000 máquinas que participaban en la producción de materiales nucleares y les dio instrucciones de autodestruirse. <#> ¿como opero Stuxnet? 1- Stuxnet penetró en la red Según la firma de seguridad cibernética Symantec, Stuxnet probablemente llegó al programa nuclear de Natanz de Irán en una memoria USB infectada. Alguien habría tenido que insertar físicamente el USB a una computadora conectada a la red. El gusano penetró así en el sistema informático de la planta. 2- El gusano se propagó a través de las computadoras Una vez dentro del sistema informático, Stuxnet buscó el software que controla las máquinas llamadas centrifugadoras. Las centrífugas giran a altas velocidades para separar componentes. En la planta de Natanz, las centrifugadoras estaban separando los diferentes tipos de uranio, para aislar el uranio enriquecido que es fundamental tanto para la energía como para las armas nucleares. <#> 3- Stuxnet reprogramó las centrifugadoras El gusano encontró el software que controla las centrifigudoras y se insertó en él, tomando el control de las máquinas. Stuxnet llevó a cabo dos ataques diferentes. En primer lugar, hizo que las centrífugadoras giraran peligrosamente rápido, durante unos 15 minutos, antes de volver a la velocidad normal. Luego, aproximadamente un mes después, desaceleró las centrifugadoras durante unos 50 minutos. Esto se repitió en distintas ocasiones durante varios meses. 4- Destrucción de las máquinas Con el tiempo, la tensión provocada por las velocidades excesivas causó que las máquinas infectadas, unas 1000, se desintegraran. Durante el ataque cibernético, alrededor del 20 por ciento de las centrifugadoras en la planta de Natanz quedaron fuera de servicio. <#> ¿Cómo logró Stuxnet infiltrarse en la central iraní? El gusano aprovechó cuatro debilidades previamente desconocidas en el sistema operativo Windows de Microsoft. Una ayudó a Stuxnet a llegar a la red a través de una memoria USB y otra usó impresoras compartidas para penetrar más profundamente. Las dos restantes le permitieron a Stuxnet controlar otras partes menos seguras de la red. El gusano fue programado específicamente para apuntar y destruir las centrifugadoras. Una vez dentro del sistema de Natanz, Stuxnet escaneó todas las computadoras con sistema operativo Windows que estaban conectadas a la red, en busca de un determinado tipo de circuito llamado Programmable Logic Controller (Controlador Lógico Programable) o PLC, que controla las máquinas. En este caso, el PLC que fue blanco del ataque controlaba la velocidad específica de las centrifugadoras. A diferencia de la mayoría de los gusanos informáticos, Stuxnet no hizo nada en las computadoras que no cumplían con requisitos específicos. Pero una vez que encontró lo que estaba buscando, se insertó en los PLC, listo para tomar el control de las centrifugadoras. <#> Efectos El objetivo de Stuxnet.A es llevar a cabo un ataque dirigido a empresas con sistemas SCADA que utilicen WINCC de Siemens, con el objetivo de recopilar información. Para instalarse en el ordenador, aprovecha la vulnerabilidad MS10-046 (CVE-20102568). Se trata de una vulnerabilidad de Windows que afecta a los accesos directos y que permite ejecutar código remoto. Método de Propagación Stuxnet.A se propaga a través de dispositivos extraíbles, como llaves USB, copiando los accesos directos maliciosos en las llaves USB que se conecten a un ordenador infectado. Estos accesos directos se aprovecha de la vulnerabilidad denominada MS10-046 (CVE-2010-2568), que afecta a los archivos con extensión LNK. Otros Detalles Stuxnet.A tiene un tamaño de 8192 Bytes. Además, Stuxnet.A crea varios mutex aleatorios, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento <#> Stuxnet.A realiza las siguientes acciones: La infección se inicia con varios accesos directos especialmente diseñados para explotar la vulnerabilidad ubicados en un dispositivo USB infectado. Los accesos directos maliciosos son los siguientes: Copy of Copy of Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Shortcut to.lnk Copy of Copy of Shortcut to.lnk Copy of Shortcut to.lnk Si el ordenador es vulnerable, se descarga y ejecuta automáticamente la librería ~WTR4141.TMP, sin tener que pulsar sobre el acceso directo, ya que dicha vulnerabilidad permite ejecutar código remoto. Esta librería se encarga de cargar y ejecutar otra librería, denominada ~WTR4132.TMP, que suelta varios rootkits en el ordenador. Estos rootkits permiten ocultar al gusano y así dificultar su detección. Microsoft ya ha publicado el parche de seguridad que resuelve esta vulnerabilidad. Si su ordenador tiene instalado Windows 2008/7/Vista/2003/XP, acceda a la página web con de descarga de este parche. <#> Conclusiones La seguridad informática es un hecho muy importante, en especial en sistemas de computación dedicadas a actividades delicados, estos sistemas encargados del control de actividades peligrosas deben de tener una planificación de cómo debe ser utilizado y quienes están autorizados a usar los sistemas. Como se menciona en el ensayo este virus es un virus que ingreso de forma física, ósea que la seguridad no es solo es de proteger tu software, si no también tu hardware y este virus demostró que como seguridad informática también hay que analizar las situaciones físicas, ya sea como el acceso a las computadoras, el manejo de USB y puertos,etc. <#> Referencia Bibliográficas Stuxnet. A(s,f)Recuperado el 21,09,2020, de https://www.pandasecurity.com/es/securityinfo/222123/information/Stuxnet.A/ El virus que tomo control de mil máquinas y les ordeno autodestruirse (11 octubre 2015). recuperado el 18,09,2020, de https://www.bbc.com/mundo/noticias/2015/10/151007_iwonder_finde_tecnologia_virus_ stuxnet#:~:text=Seg%C3%BAn%20la%20firma%20de%20seguridad,sistema%20inform %C3%A1tico%20de%20la%20planta. <#>
