Stuxnet II y BadBios: La ciberguerra es cada da ms peligrosa

El surgimiento del malware BadBios, que se estara propagando por medio de

ultrasonidos, representa un nuevo nivel dentro de la clase de "supervirus" conocidos
recientemente como Stuxnet, Flame o Duqu. Algunos funcionarios y mandos militares
consideran que el BadBios podra, al igual que sus antecesores, provocar un conflicto,
desactivar sistemas de defensa o situaciones similares. La amenaza del BadBios llega
tambin de la mano del descubrimiento del Stuxnet II.
20/11/2013| 15:01

VALOR AGREGADO

BadBIOS: El virus que golpea tanto a Windows como a Linux y Apple

Stuxnet: El complejo virus que est atacando centrales de energa y fbricas en Irn
Comprueban que Stuxnet y Flame salieron del mismo lugar

CIUDAD DE BUENOS AIRES (Urgente24) - En el pasado ya se ha alertado acerca de la

posibilidad que algn sofisticado virus desate alguna clase de conflicto armado entre
potencias. El surgimiento de Stuxnet, un supercdigo malicioso que infect el programa
nuclear iran presumiblemente procedente de algn pas de occidente, dio lugar a una
serie de apariciones de virus informticos ultrasofisticados que ponen en peligro grandes
sistemas.
Luego se conocieron el Duqu y el Flame, an ms potentes que su antecesor. Ahora la
nueva amenaza se llama Bad Bios, un supervirus que ataca al BIOS de la computadora y
se propaga por ultrasonido.
El BadBios se trata de un sistema de envo de informacin a travs de sonidos de alta
frecuencia. Afecta directamente al BIOS (Sistema Bsico de Entrada/Salida, por sus siglas
en ingls) de la computadora y consigue interconectar unos equipos con otros a travs de
ultrasonidos emitidos por los altavoces y detectados por los micrfonos de los equipos
vctima, sin que el odo humano sea capaz de percibirlos. Fue descifrado por el experto en

seguridad Dragos Ruiu despus de haber estado sufriendo sus efectos durante casi tres
aos.
A pesar de que numerosos expertos dudan de la existencia de malware de este tipo,
Hagerott se mostr muy preocupado por las amenazas que este podra suponer para la
Marina. Este tipo de virus, capaces de atravesar "las brechas areas" y afectar los
sistemas que no estn conectados a Internet, podran paralizar el software de precisin de
tiro de las naves, apagarlo o incluso desviarlo, insisti Hagerott durante una cumbre en
Washington dedicada a cuestiones de seguridad ciberntica.
Esto "podra interrumpir el equilibrio mundial del poder", subray. Segn l, para evitar tal
amenaza la Marina podra retroceder en el tiempo y volver a usar los instrumentos de
control que se empleaban hace un siglo, a inicios de los aos 1900.
Siempre se ha escuchado hablar de los virus y sus variantes evolutivas. Pero tambin de
las aplicaciones de proteccin y las medidas de seguridad que son implementadas a
diario para protegerse de estos gusanos que tanto dao hacen a la sociedad digital.
Lo sorprendente es que sali una publicacin de una revista electrnica de Estados
Unidos donde se anuncia la aparicin de un virus que se trasmite a travs de ultrasonido,
infectando cualquier sistema operativo, desde pc, Mac, Linux, etc. Lo cierto es que se ha
descubierto el pap y el seor de todos los virus.
Todo inicia hace tres aos cuando Dragos Ruiu, consultor de seguridad trabajaba en su
laboratorio y reconoce que algo poco usual pasaba en su MacBook Air. Despus de
instalar la ltima versin del sistema operativo de Apple, de la nada el equipo actualiz su
versin de firmware del arranque. Ms extrao an, tambin intent arrancar la mquina
desde CD y tampoco pudo. Para mayor sorpresa la mquina empez a borrar datos y
hacer cambios de configuracin sin preguntar. Este evento dio inicio a largas horas de
trasnocho de los investigadores.
En los meses siguientes, Ruiu observ fenmenos cada vez ms extraos que parecan
salir de una de pelcula de ciencia ficcin. Para sorpresa de todos, un equipo que
ejecutaba el sistema operativo BSD abierto tambin comenz a modificar su configuracin
y borrar sus datos sin explicacin o preguntar.
Su red empez a mandar datos especficos de protocolo de red IPv6, incluso desde
equipos que se supona que tenan IPv6 completamente deshabilitadas. Lo ms extrao
de todo fue la capacidad de los equipos infectados para transmitir pequeas cantidades
de datos de la red con otras mquinas infectadas aun cuando sus cables de alimentacin
y los cables Ethernet fueron desconectados y su Wi - Fi y las tarjetas Bluetooth se haban
retirado.
Hay que formatear. Tpica solucin ante un cncer informtico de este calibre. La sorpresa
fue que demoraba ms reinstalar la mquina que el virus propagarse nuevamente.
Cuentan los investigadores, que en uno de esos das de trabajo se encontraban en una
mquina que haban reinstalado con Windows, mientras exploraban el registro en
bsqueda de anomalas o evidencia observaron que el virus haba tomado el control
evitando que pudieran seguir con su trabajo forense da susto no?

Despus de especular, de probar una y otra cosa sin resultados, los investigadores
optaron por desvalijar, literalmente, un equipo y ver en qu momento suceda la
infeccin. Lo encontrado fue sorprendente: la mquina dejo de infectarse cuando le
desconectaron el controlador de sonido, es decir el virus se trasmita por los parlantes e
infectaba a los dems por el micrfono usando un ultrasonido. Recurdese que este tipo
de sonidos se emiten en frecuencias que no son detectadas por el odo humano.
Aunque parezca descabellado, el virus infectaba cualquier mquina independiente del
sistema operativo, el mtodo de activacin era el ultrasonido trasmitido por los parlantes,
de memorias USB infectadas. Con solo insertarlas en un computador (ya sea Windows,
Linux o Mac OS X) el rootkit se transmite infectndolo.
No obstante, cabe resaltar que para otros expertos en seguridad esta informacin no es
del todo real y no han tardado en exponer las dudas sobre la misma, de hecho dicen que
son trucos que intentan mostrar como reales.
Cierto o no, cuesta trabajo creer que un virus de este calibre pueda propagarse a travs
de ultra sonidos y que por arte de magia sea capaz de llegar a infectar la capa de sistema
operativo de un computador. Como dicen por ah: yo no creo en brujas pero que las hay
las hay. Si esto es real no sera extrao que una gran potencia mundial est invirtiendo
recursos para lograr cosas como estas, entonces no se trata del trabajo de un hacker de
garaje, es otro nivel.
El gemelo del Stuxnet
En
su
artculo
para
'Foreign
Policy',
el
especialista
en
seguridad
informtica, Raph Langner escribe que, tras llevar a cabo una investigacin escrupulosa
de tres aos, est seguro de que el virus que intent cambiar las velocidades de los
rotores en una centrfuga de la central iran de Natanz fue bastante insignificante y
rutinario. Asimismo, advierte que este ataque bastante simple fue precedido aos antes
por otro, mucho ms sofisticado y peligroso, y acenta que sin aquel gemelo sigiloso de
Stuxnet, complicado y potente, que habra pasado desapercibido para la atencin pblica,
el virus, probablemente, no habra escapado para afectar a medio mundo.
El Stuxnet II, la ltima y ms simple versin del malware, intent hacer que los rotores de
las centrifugas que enriquecen el uranio girasen demasiado rpidamente, a unas
velocidades que habran de causar su ruptura. El Stuxnet original, en cambio, deba
sabotear los sistemas de proteccin de las centrifugas de Natanz.
Estos sistemas constan de tres vlvulas de cierre instaladas en cada centrifugadora. En
caso de incidente, una vibracin lo pone al descubierto y las vlvulas se cierran, aislando
la centrifuga accidentada del resto del sistema. En otras palabras, el proceso sigue su
curso mientras los ingenieros sustituyen la centrifuga daada. El sistema de proteccin en
Natanz se basa en los mandos industriales Siemens S7-417, que operan las vlvulas y
sensores de presin. El Stuxnet I estaba diseado para tomar el control completo de estos
mandos, es decir, de los sistemas informticos incorporados, directamente conectados
con un equipamiento fsico como las vlvulas, algo inimaginable hasta entonces.
Un mando infectado con el Stuxnet I es desconectado de la realidad fsica. El sistema del
control empieza a ver solo lo que el virus quiere que vea. Lo primero que hace el malware
es tomar medidas para ocultar su presencia. Graba los valores de los sensores del

sistema durante un perodo de 21 segundos. Luego reproduce estos 21 segundos en una

trayectoria circular mientras se realiza el ataque (los asaltos se sucedan una vez al mes),
de tal forma que para el centro de control todo va bien, tanto para los operadores
humanos como para cualquier sistema automtico.
Mientras tanto, el Stuxnet I empieza su trabajo sucio: Cierra las vlvulas de aislamiento
para las dos primeras y las dos ltimas etapas del enriquecimiento, bloqueando de tal
modo la salida del hexafluoruro de uranio (el gas que sirve para obtener el uranio
enriquecido) y aumentando la presin sobre las centrifugas. El aumento de la presin da
lugar a que en las centrifugas se acumule ms gas de lo debido, generando ms estrs
para el rotor mecnico. La presin puede provocar, adems, que el hexafluoruro de uranio
gaseoso se solidifique y dae la centrifuga fatalmente.
Segn destaca Langner, la solidificacin del gas en Natanz desembocara en una
destruccin simultnea de centenares de centrifugas por cada mando infectado. Sin
embargo, el experto insiste que esto no fue el objetivo de los 'hackers', porque, en este
caso, los especialistas iranes no habran tardado mucho en descubrir el origen del
desastre. En cambio, hacan todo lo posible para frenar los ataques a tiempo, antes de
que se desencadenara una reaccin catastrfica. Su objetivo fue ms bien incrementar la
carga sobre los rotores para que quedaran fuera del servicio, pero no en el momento del
propio asalto, concluye Langner. Al mismo tiempo, el especialista destaca que se
desconoce el resultado final de esta estrategia y que a partir de 2009 los agresores
cambiaron del instrumento.
Cabe destacar que Langner no es el nico especialista que denuncia la existencia de las
dos versiones de Stuxnet. A inicios de este ao los investigadores de Symantec Corp
(SYMC.O) tambin declararon que haba sido una versin del virus informtico Stuxnet la
que se utiliz para atacar el programa nuclear de Irn en noviembre de 2007.
http://www.urgente24.com/221114-stuxnet-ii-y-badbios-la-ciberguerra-es-cada-dia-maspeligrosa