Stuxnet: A história da primeira arma digital que destruiu instalações físicas

O ataque do Stuxnet é um dos casos mais conhecidos da história da cibersegurança: ele é um malware sofisticado que marcou sua era como a primeira arma digital desenvolvida para causar danos físicos no mundo real. O alvo? uma rede de enriquecimento de urânio em Natanz, no Irã, numa tentativa de interromper o programa nuclear do país.

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

O agente malicioso é, em resumo, um worm de computador que explorava vulnerabilidades zero-day, ou seja, ainda desconhecidas ou não corrigidas, com o alvo principal sendo sistemas de controle industrial, especificamente do tipo SCADA/PLC, da Siemens. O caso do Stuxnet, ocorrido em 2010, mostrou a nova dimensão tomada pela guerra cibernética entre países, colocando o ciberespaço como um novo campo de batalha.

Como funciona o Stuxnet?

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

O Stuxnet é um malware do tipo worm, ou seja, ele se autorreplica e se espalha por todos os computadores de uma rede quanto possível. Enquanto o módulo principal realiza as ações de ataque previstas, um segundo módulo executa as cópias espalhadas e um terceiro, o rootkit, é responsável por esconder os arquivos e processos maliciosos para evitar sua detecção.

A infecção inicial do Stuxnet é feita por drive USB, ultrapassando barreiras como computadores desconectados da internet (air-gapped). Extremamente focado, o vírus conseguiu usar até quatro vulnerabilidades zero-day de seus alvos para se propagar secretamente nas redes isoladas: ao entrar em um computador, ele busca o software PLC (Controlador Lógico Programável) Siemens Step7. Quando não encontra, fica dormente e inofensivo na máquina, só agindo quando nota o programa em questão.

O Stuxnet ainda contém certificados digitais roubados da Realtek e JMicron para fingir ser um software legítimo, passando batido por antivírus. Quando age no PLC e dá os comandos maliciosos, ele consegue retornar um loop de operação normal, fingindo que o sistema está funcionando como deveria para os usuários.

O ataque físico

A ação do Stuxnet no Irã se deu em duas fases: na primeira, o sistema da Siemens recebeu instruções de mudar a frequência das centrífugas de 1064 Hz para 1410 Hz, funcionando assim por dias, estressando o material. Em seguida, a frequência foi reduzida para valores muito baixos, de 2 Hz, causando oscilação e acelerando a falha mecânica. Com vibração e ressonância inesperadas, o maquinário ficou comprometido.

A segunda fase foi de ocultação, quando leituras normais foram retornadas para os computadores dos operadores na sala de controle. Essa ação man-in-the-middle garantiu que o mau funcionamento ficasse escondido até que fosse tarde demais.

Consequências do ataque

Sendo um sucesso para os invasores, estima-se que o ataque do Stuxnet tenha destruído cerca de 984 centrífugas no complexo de Natanz entre 2009 e 2010, atrasando significativamente o programa nuclear do Irã. O malware só foi descoberto por acaso, em 2010, por um pesquisador de segurança em Belarus, Sergey Ulasen, que tentava entender porque o computador de um cliente reiniciava constantemente.

A autoria do ataque nunca foi confirmada, mas acredita-se que os responsáveis tenham sido Estados Unidos e Israel, no que ficou conhecido como Projeto Olympic Games. A sofisticação do código, que possui cerca de 500 KB, o uso de múltiplas zero-days e o conhecimento aprofundado das PLCs e do processo nuclear iraniano indicam que a ação tenha sido feita com patrocínio estatal: só o serviço de inteligência de um país poderia saber e fazer tanto.

O legado do Stuxnet

Com o ataque do worm, ficou evidente que o ciberespaço pode ser usado para propósitos cinéticos, ou seja, danos físicos, não apenas espionagem ou interrupção de dados, por exemplo. O código do Stuxnet, em especial, junto a suas variações como Duqu e Flame, serviu de base para novas ameaças e inspirou ataque subsequentes, como o do malware BlackEnergy 3, em 2015, na rede elétrica da Ucrânia.

O incidente forçou empresas de infraestrutura de todo o mundo a repensar a segurança de seus sistemas de tecnologia operacional, cuja infiltração física era, de modo geral, negligenciada: se instalações nucleares de um país soberano podem ser atacadas, o que será de uma empresa menor?

O Stuxnet foi um divisor de águas na guerra cibernética, inaugurando a era dos ataques físicos por meios virtuais. A guerra híbrida é, atualmente, uma ameaça real e permanente, tornada bastante urgente com o incidente de 2010, acelerando a preocupação global dos países em se protegerem contra incidentes do tipo.

Confira também:

• Hackers norte-coreanos roubaram segredos de drones com engenharia social
• O que é spoofing?
• Megaoperação policial desliga mil servidores de hackers em todo o mundo

VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]