Analista revela como foi identificado vírus instalado pelos EUA em usina do Irã

Por Redação | 02 de Setembro de 2014 às 16h00

O diretor da empresa especialista em segurança digital F-Secure, o finlandês Mikko Hyppönen, foi um dos especialistas responsáveis por revelar a existência do vírus Stuxnet, instalado pelos Estados Unidos em uma usina nuclear iraniana. Na última semana, Hyppönen esteve em São Paulo para um evento e cedeu uma entrevista ao jornal Folha de S.Paulo contando como foi a descoberta do vírus e toda a paranoia vivida pelos especialistas.

Hyppönen conta que inicialmente a equipe não se deu conta da complexidade do Stuxnet: sabia-se que era algo diferente, mas não tinham ideia do quanto. Não se sabia de onde ele tinha vindo e nem que ele havia sido encontrado no Irã.

A descoberta foi feita em 2010, quando a equipe teve acesso ao Stuxnet original encontrado por uma pequena empresa de segurança da Bielorússia, país do leste europeu que presta serviços para o Irã.

A equipe passou a se interessar mais pelo vírus, pois ele explorava uma falha de dia zero – vulnerabilidades de um sistema, como o Windows, por exemplo, mas que não haviam sido notadas antes. Segundo Hyppönen, falhas de dia zero são “raras, valiosas e interessantes”.

Após a descoberta a equipe conseguiu identificar que o Stuxnet não explorava apenas uma falha dia zero, mas haviam outras sendo exploradas pelo malware. De acordo com ele, a equipe nunca havia se deparado com um malware capaz de explorar três falhas dia zero simultaneamente e foi justamente isso que os fez perceber a complexidade daquilo que estava em suas mãos.

A equipe então percebeu que o desenvolvimento de um vírus com tamanha capacidade teria tido um grande investimento e que a fonte, provavelmente, era governamental. Também encontraram indícios que o vírus havia sido encontrado no Irã e estava relacionado com um programa nuclear.

Um amigo de Hyppönen, da empresa australiana Computer Associates, foi o primeiro a revelar as informações para o público a partir de uma lista de e-mails. Ele informou que, com base no que haviam descoberto até então, era seguro dizer que o software malicioso tratava-se de uma operação do governo dos Estados Unidos contra o programa nuclear do Irã. Hyppönen conta que a equipe estava tão paranoica que, dois minutos após enviar o e-mail, o colega encaminhou um segundo e-mail afirmando que nunca tinha tido tendências suicidas, só para o caso de ser encontrado morto.

O código do Stuxnet faz com que ele seja inofensivo caso encontre uma rede que não esteja configurada de acordo com as suas instruções. Para que a rede infectada seja afetada ela precisa de um modelo específico de conversores de energia e que eles estejam conectados em grupos específicos.

Essa seria a digital do vírus e apenas com este código ele sabe que encontrou a usina certa. Se não for aquela configuração que ele procura, ele não faz nada. Se, por exemplo, uma empresa em São Paulo for infectada pelo malware, não acontecerá nada a ela, pois a configuração não é a mesma.

Após identificar a digital do Stuxnet, a equipe passou a procurar alguma usina iraniana que se encaixasse nas configurações do vírus. A pesquisa foi feita a partir de fotos da presidência do país. A equipe encontrou uma foto do então presidente, Mahmoud Ahmadinejad, olhando o monitor de uma usina, deram zoom e lá estava, a disposição da usina se casava com o código do Stuxnet.

Dessa forma a equipe pode provar suas suspeitas e depois outras provas também apareceram. O governo americano restringiu o vírus para que ele não causasse danos em outros locais. A primeira tarefa que o Stuxnet faz ao infectar um sistema é checar a data, se passou de junho de 2012 o malware não faz nada. Segundo Hyppönen, o Stuxnet expirou.

Fonte: http://www1.folha.uol.com.br/tec/2014/09/1509250-analista-revelou-virus-de-computador-instalado-pelos-eua-no-ira.shtml

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.