Inicialmente, os pesquisadores não tinham dúvidas de que todo o ataque tinha uma natureza dirigida. O código do Stuxnet parecia profissional e exclusivo; existiam evidências de que vulnerabilidades zero-day extremamente caras haviam sido utilizadas. Porém, ainda não sabíamos quais tipos de organizações foram atacadas primeiro e como o malware invadiu as centrífugas de enriquecimento de urânio em instalações públicas extremamente secretas.
Esta nova análise lança luz sobre essas questões. Todas as cinco organizações que foram inicialmente atacadas atuam na área ICS (Sistemas de Controle Industriais) no Irã, desenvolvendo sistemas ou fornecendo materiais e peças. A quinta organização atacada é a mais intrigante da lista porque, entre outros produtos para automação industrial, produz centrífugas de enriquecimento de urânio. Este é precisamente o tipo de equipamento que acreditamos ser o principal alvo do Stuxnet.
Aparentemente, os criminosos esperavam que essas organizações trocassem dados com clientes – como instalações públicas de enriquecimento de urânio – e isso tornaria possível enviar o malware para essas instalações. O resultado sugere que o plano foi de fato bem sucedido.
“Analisando as atividades profissionais das primeiras organizações vítimas do Stuxnet, conseguimos compreender melhor como toda a operação foi planejada. No fim das contas, este é um exemplo de um vetor de ataque à cadeia de suprimentos, onde o malware é entregue à organização-alvo indiretamente, através de redes de parceiros com que a organização alvo trabalha”, afirmou Alexander Gostev, Chief Security Expert na Kaspersky Lab.
Os especialistas da Kaspersky também realizaram outra descoberta interessante: o Stuxnet não se disseminava apenas por dispositivos USBs contaminados conectados nos PCs. Essa era a teoria inicial e explicava como o malware conseguiria invadir um local sem conexão direta com a internet. Porém, dados compilados enquanto realizávamos as análises do primeiro ataque, mostraram que a primeira amostra do malware (Stuxnet.a) foram compiladas algumas horas após aparecer em um PC da primeira organização atacada. Este curto espaço de tempo faz com que seja difícil de imaginar que um criminoso tenha copiado a amostra em um dispositivo USB e entregue para a organização alvo em apenas algumas horas.
As últimas informações técnicas sobre alguns aspectos antes não conhecidos do Stuxnet podem ser acessados no site Securelist e no livro “Countdown to Zero Day”, da jornalista Kim Zetter. O livro inclui informações não publicadas sobre o Stuxnet; algumas dessas informações são baseadas em entrevistas com membros do Time Global de Analises e Pesquisas da Kaspersky Lab.
Nenhum comentário:
Postar um comentário