O que é o Stuxnet?
O Stuxnet é um worm de computador malicioso que se tornou famoso por ter sido usado para atacar instalações nucleares iranianas. Esse ataque foi manchete nos noticiários mundiais em 2010, quando foi descoberto pela primeira vez. Como disse Jérôme Segura, Diretor Sênior de Inteligência contra Ameaças da Malwarebytes, em seu artigo Stuxnet: new light through old windows, "pouquíssimos malwares atraíram o mesmo tipo de atenção mundial que o Stuxnet".
Embora seja um worm de computador, o Stuxnet é um software mal-intencionado, ele tem sido usado para atacar equipamentos eletromecânicos. Como no caso do grande ataque no Irã, os atacantes usaram o Stuxnet para explorar várias vulnerabilidades de dia zero no site Windows , procurar nos PCs infectados uma conexão com o software que controlava o equipamento eletromecânico e enviar instruções destinadas a danificar o equipamento. Embora muitos tipos de malware infectem um computador pela Internet, outro recurso exclusivo do ataque do Stuxnet no Irã é que o malware foi introduzido nos PCs por meio de unidades USB infectadas.
O Stuxnet é um vírus?
Muitas pessoas chamam o malware de "vírus Stuxnet", embora ele não seja um vírus de computador - é um worm de computador. Embora tanto os vírus quanto os worms sejam tipos de malware que podem corromper arquivos, um worm de computador pode ser muito mais sofisticado. Para começar, ao contrário de um vírus, um worm não requer interação humana para ser ativado. Em vez disso, ele se autopropaga, às vezes de forma prolífica, depois de entrar em um sistema. Além de excluir dados, um worm de computador pode sobrecarregar as redes, consumir largura de banda, abrir uma porta dos fundos, diminuir o espaço no disco rígido e lançar outros malwares perigosos, como rootkits, spyware e ransomware.
O que foi o ataque Stuxnet no Irã?
De acordo com o livro "Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon", em 2010, inspetores visitantes da Agência de Energia Atômica ficaram surpresos ao ver muitas das centrífugas do Irã falhando. Nem os iranianos nem os inspetores conseguiram entender por que os equipamentos fabricados pela Siemens, projetados para enriquecer urânio que alimenta os reatores nucleares, estavam apresentando um funcionamento tão catastrófico.
Era difícil imaginar que um software malicioso fosse o responsável. Afinal de contas, as instalações nucleares do Irã eram herméticas, ou seja, não estavam conectadas a uma rede ou à Internet. Para que um ataque de malware ocorresse na usina de enriquecimento de urânio isolada, alguém deveria ter adicionado o malware fisicamente, de forma consciente ou subconsciente, talvez por meio de uma unidade USB infectada.
Quando uma equipe de segurança da Bielorrússia foi investigar o mau funcionamento de alguns computadores no Irã, encontrou um software malicioso altamente complexo. Esse malware agressivo se espalharia mais tarde pela natureza, e os pesquisadores o apelidaram de Stuxnet, a "primeira arma digital do mundo".
Por que o Stuxnet era tão perigoso?
Os especialistas consideram o Stuxnet um código incrivelmente complexo e a primeira arma cibernética do mundo. Ele pode ter degradado fisicamente quase 1.000 centrífugas iranianas. O Stuxnet funcionou infectando os controladores lógicos programáveis (PLCs) que controlavam as centrífugas e sabotando-as.
As centrífugas giram em velocidades extraordinariamente rápidas, criando uma força muitas vezes mais rápida do que a gravidade para separar os elementos do gás urânio. O worm manipulou a velocidade de operação das centrífugas, criando estresse suficiente para danificá-las. O Stuxnet não teve pressa, esperando semanas para desacelerar as centrífugas depois de acelerá-las temporariamente, o que dificultou a detecção de suas atividades.
O Stuxnet também foi difícil de detectar porque era um malware completamente novo, uma ameaça emergente sem assinaturas conhecidas. Além disso, o Stuxnet explorou várias vulnerabilidades de dia zero, que são falhas de segurança de software não corrigidas.
O Stuxnet também enviou sinais falsos de sensores de controle de processos industriais para ocultar sua presença e atividade maliciosa. Além disso, o Stuxnet também foi capaz de lançar um rootkit. Os rootkits podem dar a um agente de ameaça o controle de um sistema em seu núcleo. Com uma instalação no site rootkit , o Stuxnet era mais capaz de agir furtivamente.
Práticas recomendadas de segurança cibernética para redes industriais
Medidas sólidas de segurança cibernética são essenciais para qualquer empresa. Relatos de ataques cibernéticos são noticiados regularmente, e nem sempre é um software malicioso que ataca um software útil; como no caso do Stuxnet, o malware pode ser usado para atacar dispositivos eletromecânicos, hardware e infraestrutura.
Um dos incidentes de segurança cibernética mais notáveis de 2021 foi um ataque de ransomware que fechou o maior oleoduto de combustível dos EUA por quase uma semana. Posteriormente, foi determinado que uma única senha comprometida possibilitou o ataque. Outros alvos de ataques de ransomware durante o ano incluíram o maior frigorífico do mundo e o maior serviço de balsa em Massachusetts.
Seja ransomware, worms de computador, phishing, comprometimento de e-mail comercial (BEC) ou outra ameaça que o mantém acordado à noite, você pode tomar medidas para proteger sua empresa. Em nossa missão de levar a proteção cibernética a todos, o Malwarebytes oferece soluções de segurança para empresas de todos os portes. Sua empresa também pode adotar práticas recomendadas de segurança, como:
- Aplique uma política rigorosa de BYOD (Bring Your Own Device, traga seu próprio dispositivo ) que evite que funcionários e prestadores de serviços introduzam ameaças em potencial.
- Air gap de qualquer computador que possa afetar a segurança nacional.
- Air gap de todos os sistemas legados que servem como interfaces humanas.
- Adote um regime sofisticado de senhas com autenticação de dois fatores que dificulte ataques de força bruta e evite que senhas roubadas se tornem vetores de ameaças.
- Proteja computadores e redes com os patches mais recentes.
- Use software de segurança cibernética com tecnologia de IA e recursos de aprendizado de máquina.
- Aplique backup e restauração fáceis em todos os níveis possíveis para minimizar a interrupção, especialmente para sistemas críticos.
- Monitore constantemente os processadores e servidores em busca de anomalias.
- Experimente uma zona desmilitarizada (DMZ) para redes industriais.
- Procure a lista branca de aplicativos para aumentar a segurança do software.
Artigos relacionados de Malwarebytes Labs
Tem interesse em ler mais sobre segurança cibernética e infraestrutura? Dê uma olhada nos seguintes artigos do site Malwarebytes Labs :