You Are Reading

.

Compartelo:
0

El día que Stuxnet murió

Jesus Bourne 14 de julio de 2012
Muy dentro de los módulos de configuración de Stuxnet, cierta variable de 8 bytes contiene un número que, si se lee como una fecha, señala el 24 de junio de 2012. Esta es la fecha en que las subrutinas de replicación LNK de Stuxnet dejaron de funcionar, y cuando el gusano dejó de infectar memorias USB.



La variable específica que guarda el "momento de la muerte" se puede ver en la imagen de arriba - "00 c0 45 4c 9c 51 CD 01" que se traduce como 24 de junio de 2012 en el formato estándar de hora de Windows de 64 bits.

Actualmente, existen tres variantes conocidas de Stuxnet que fueron todas sembradas en oleadas en diferentes fechas. La primera variante conocida se sembró el 23 de junio de 2009 a las 4:40 am GMT. La próxima ola se llevó a cabo el 28 de junio y luego el 7 de julio.

Así, el 24 de junio de 2012, suman tres años después de la implementación inicial del gusano que se reproducía en organizaciones iraníes seleccionadas cuidadosamente.

Curiosamente, el 24 de junio tiene al menos otro significado importante en la historia Stuxnet / Duqu.

En la actualidad, hay tres generaciones de controladores conocidos de Duqu. Son del 3 de noviembre de 2011, 17 de octubre de 2011 y el más reciente del 23 de febrero de 2012. El conductor Duqu del 3 de noviembre de 2011 es interesante para nuestra historia. En la compensación 5190h (ver más abajo), hay un bloque de configuración cifrado.


El bloque de configuración se cifra con un cifrado de flujo simple. Así es como se ve el código de descifrado:


Una vez descifrado, se puede leer la configuración Duqu:


Uno debe tener en cuenta el valor 0xAE240682 (rectángulo rojo) en la imagen superior, junto con la clave de registro sosteniendo la ruta de acceso al cuerpo principal Duqu así como el nombre del controlador de dispositivo que se utiliza para las comunicaciones entre procesos.

El valor 0xAE240682 se puede dividir en 4 partes. 0xAE es una constante mágica utilizada en todo el cuerpo de Duqu y Stuxnet. Su significado es aún desconocido, pero parece ser una de las favoritas de los desarrolladores. El resto se puede leer como 24/06/82. Esto es, exactamente 30 años antes de la fecha de la “muerte” de  Stuxnet.

La fecha 24 de junio 1982 también es interesante. Es la historia del vuelo de British Airways 9, también conocido como el Speedbird 9 o el incidente de Yakarta. El 24 de junio de 1982, en la ciudad de Edimburgo, un avión Boeing 747-236B voló sobre una nube de cenizas volcánicas causada por la erupción del Monte Galunggung.

Alrededor de las 13:42 UTC, el motor número cuatro comezó a flamear. Pronto, el motor dos falló, entonces los motores uno y tres se incendiaron y apagaron dejando al avión "muerto en el aire".

Con el avión volando a 37,000 pies de altura, el equipo calculó que podían deslizarse unos 23 minutos, que no era suficiente para que pudiese regresar con seguridad y aterrizar en el aeropuerto. Ante la situación, el capitán Eric Moody hizo un anuncio histórico en forma rápida a los comandos internos:

"Damas y caballeros, les habla su capitán. Tenemos un pequeño problema. Los cuatro motores se han detenido. Estamos haciendo hasta lo imposible para conseguir que funcionen otra vez. Confío en que no caigan en demasiado estrés”.

Puede consultar la historia completa de BA009 aquí.

Por supuesto, nadie fuera del proyecto puede decir con certeza por qué Stuxnet ha dejado de propagarse exactamente 30 años a partir de este incidente, o por qué la fecha también está codificada en la subrutina de descifrado de Duqu. Adicional al 24 de junio, el exploit Stuxnet MS10-061 dejó de funcionar el 1 de junio de 2011.. Por otra parte, los controles del exploit MS08-067 caducan antes de enero de 2030.

Sin embargo, todos estos controles, probablemente indican que los atacantes estaban planeando tenerlo bastante actualizado para el 1 de junio de 2011 y retirarlo o reemplazarlo para el 24 de junio de 2012.

Con el descubrimiento y revelación de Flame en mayo de 2012, podemos esperar más ciberarmas que estarían en camino, o bien ya se han desplegado.

Fuente: SECURELIST 

0 comentarios:

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT