La Primera Ciber Arma de la historia

STUXNET
Ing. Willian Manuel Tapia Cruz.

Electrónica industrial
Sistemas Operativos Avanzados
El Virus que tomó control de
los Controladores Lógicos
Programables (PLC) y les
ordenó autodestruirse
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 2
CIBERGUERRA:
Se define como ciberguerra todo aquella guerra que se
realiza a través de sistemas informáticos, a través de la
red, internet o controlando cualquier aparato tecnológico

del enemigo.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 3
Las nuevas armas se basan en la tecnología y en el ataque
invisible, trepidante y fugaz.
Los drones, aviones espía, armamento de gran poder
destructivo, etc., ocupan ahora los escenarios bélicos que
antes llenaban decenas de miles de soldados acantonados
en angostas trincheras disparándose

proyectiles día tras día.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 4
En enero de 2010, los inspectores de la Agencia Internacional de Energía
Atómica que visitaban una planta nuclear en Natanz, Irán, notaron con
desconcierto que las centrifugadoras usadas para enriquecer uranio estaban
fallando.

Curiosamente, los técnicos iraníes que reemplazaban las máquinas también

parecían asombrados.

El fenómeno se repitió constantemente en la planta, pero esta vez los expertos

pudieron detectar la causa: un malicioso virus informático.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 5
El "gusano" - ahora conocido como Stuxnet - tomó el control de
1.000 máquinas que participaban en la producción de materiales
nucleares y les dio instrucciones de autodestruirse.

Fue la primera vez que un ataque cibernético logró dañar la

infraestructura del "mundo real".

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 6
La Amenaza
Las Naciones es el Objetivo
Algunos de los programas de malware actuales son tan sofisticados y costosos de crear
que los expertos en seguridad creen que solamente un estado o un grupo de

naciones podrían tener la influencia y financiación para crearlo.

Estos malware pueden tener como objetivo atacar la infraestructura vulnerable de una
nación, como el sistema de agua o la red eléctrica.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 7
La Amenaza
Las Naciones es el Objetivo
Uno de esos malware fue el gusano Stuxnet que infectó las unidades USB y se infiltró en
los sistemas operativos Windows Luego se enfocó en Step 7 que fue desarrollado

por Siemens para sus controladores lógicos programables (Programmable Logic

Controllers, PLC)

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 8
¿Que es un Malware?

Malware es un término genérico utilizado para describir una variedad de software hostil o

intrusivo: virus informáticos, gusanos, caballos de Troya, software de rescate, spyware, etc.

Puede tomar la forma de código ejecutable, scripts, contenido activo y otro software.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 9
¿Qué es un controlador lógico programable PLC?

Es un equipo electrónico diseñado

en base a microprocesadores, que

consta de unidades o módulos que

cumplen funciones especificas, los

que permiten recibir información de

todos los sensores y comandar

todos los actuadores del sistema

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 10
Estructura de un PLC

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 11
¿Cómo un Virus (gusano)
informático logró dañar
físicamente mas de Mil PLCS
en una planta nuclear?
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 12
Stuxnet penetró en la red

Según la firma de seguridad cibernética Symantec declaro que Stuxnet probablemente

llegó a la planta nuclear de Natanz en una memoria USB infectada.

Alguien habría tenido que insertar físicamente el USB a una computadora conectada a la

red.

El gusano penetró así en el sistema informático de la planta.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 13
¿Cómo es el procedimiento ante un nuevo virus?

Cuando se descubre un nuevo virus el procedimiento es coger el programa decodificarlo

pasarlo a código maquina básico luego interpretarlo e intentar entender todo lo que

podamos; buscar instrucciones, patrones entender mas o menos que es lo que este virus

intenta hacer.

Normalmente estos procesos duran días o una semana, sin embargo el virus Stuxnet les

demoro mas de 6 meses descifrar a los especialistas en seguridad.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 14
El gusano se propagó a través de las computadoras

Una vez dentro del sistema informático, Stuxnet buscó el software que controla las

máquinas llamadas centrifugadoras.

Las centrífugas giran a altas velocidades para separar componentes.

En la planta de Natanz, las centrifugadoras estaban separando los diferentes tipos de

uranio, para aislar el uranio enriquecido que es fundamental tanto para la energía como

para las armas nucleares

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 15
Stuxnet reprogramó las centrifugadoras

El gusano encontró el software que controla las centrifugadoras y se insertó en él, tomando

el control de las máquinas.

Stuxnet llevó a cabo dos ataques diferentes.

En primer lugar, hizo que las centrifugadoras giraran peligrosamente rápido, durante unos

15 minutos, antes de volver a la velocidad normal.

Luego, aproximadamente un mes después, desaceleró las centrifugadoras durante unos

50 minutos.

Esto se repitió en distintas ocasiones durante varios meses.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 16
Destrucción de las máquinas

Con el tiempo, la tensión provocada por las velocidades excesivas causó que las máquinas

infectadas, unas 1000, se desintegraran.

Durante el ataque cibernético, alrededor del 20 por ciento de las centrifugadoras en la

planta de Natanz quedaron fuera de servicio.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 17
 ¿Cómo logró Stuxnet
infiltrarse en la central iraní?

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 18
Usando pequeños programas como los Exploits que se aprovecha de la vulnerabilidad de

Los sistemas operativos.

El programa (virus) aprovechó cuatro debilidades previamente desconocidas en el sistema

Operativo Windows de Microsoft.

Una ayudó a Stuxnet a llegar a la red a través de una memoria USB y otra usó impresoras

compartidas para penetrar más profundamente.

Las dos restantes le permitieron a Stuxnet controlar otras partes menos

seguras de la red.

El gusano fue programado específicamente para

apuntar y destruir las centrifugadoras.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco 19
Una vez dentro del sistema de Natanz, Stuxnet escaneó todas las computadoras con

sistema operativo Windows que estaban conectadas a la red, en busca de un determinado

Software STEP7 o S7.

STEP 7, o S7, es un software de programación del PLC SIMATIC-S7, de Siemens.

En este caso, el PLC que fue blanco del ataque controlaba la velocidad específica de las

centrifugadoras.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 20
A diferencia de la mayoría de los gusanos informáticos, Stuxnet no hizo nada en las

computadoras que no cumplían con requisitos específicos.

Pero una vez que encontró lo que estaba buscando, se insertó en los PLC, listo para tomar

el control de las centrifugadoras.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 21
¿Qué es un Exploit?

Un Exploit es un programa informático, una parte de un software o una secuencia de

comandos que se aprovecha de un error o vulnerabilidad para provocar un

comportamiento no intencionado o imprevisto en un software, hardware o en cualquier

dispositivo electrónico.

Estos comportamientos incluyen, por lo general, la toma del control de un sistema, la

concesión privilegios de administrador al intruso o el lanzamiento de un ataque de

denegación de servicio (DoS o DDoS).

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 22
Ataque de día cero

Un Ataque de día cero (en inglés zero-day attack o 0-day attack) es un ataque contra una

aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al

conocimiento de vulnerabilidades que son desconocidas para los usuarios y para el

fabricante del producto.

Es frecuente la venta en el mercado negro de exploits que aprovechan estas vulnerabilidades.

Su precio se establece en base a su impacto y el número de dispositivos vulnerables.

Un ataque de día cero se considera uno de los más peligrosos instrumentos de una guerra

Informática.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 23
Temas de Espionaje

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 24
Para infiltrarse en el sistema sin ser detectado, el gusano utiliza una "firma digital“ una

clave larga, cifrada, robada de piezas genuinas de software para parecer legítimo.

Windows suele comprobar esas claves cuando se instalan nuevos programas.

Usando ese modo de acceso, Stuxnet se deslizó sin generar sospechas.

El gusano permaneció latente durante casi un mes después de infectar el PLC de las

máquinas.

En ese tiempo observó cómo opera el sistema normalmente y registró los datos

generados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 25
Una vez las centrifugadoras en Natanz quedaron fuera de control, el gusano reprodujo los

datos grabados cuando todo estaba funcionando normalmente.

Esto permitió que permaneciera indetectado por los operadores humanos de la fábrica,

mientras las centrifugadoras quedaban destruidas.

Stuxnet fue incluso capaz de anular los interruptores de apagado de emergencia.

Incluso cuando los operadores de las centrifugadoras se percataron de que las cosas

estaban fuera de control, Stuxnet contenía un código que impidió el apagado de las

máquinas.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 26
Symantec considera que se necesitaron entre 5 y 10 expertos en software, que trabajaron

hasta 6 meses para crear el sofisticado gusano cibernético.

En 2011, el reconocido experto Ralph Langner dijo que el gusano fue creado en laboratorio

por Estados Unidos e Israel para sabotear el programa nuclear de Irán, pero las

autoridades no han confirmado esa afirmación.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 27
LÍNEA PLC SIEMENS

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco 28