O futuro da guerra pode ter apenas começado, mas em vez de ser anunciado por uma explosão, começou sem um som ou uma única vítima.
É o primeiro deste tipo e pode ser um sinal da forma como todas as guerras serão travadas a partir de agora. É uma arma cibernética tão precisa que pode destruir um alvo de forma mais eficaz do que um explosivo convencional e depois simplesmente apagar-se, deixando as vítimas culpadas. É uma arma tão terrível que poderia fazer mais do que apenas danificar objetos físicos, poderia matar ideias. É o worm Stuxnet, apelidado por muitos como a primeira arma real de guerra cibernética do mundo, e o seu primeiro alvo foi o Irão.
Vídeos recomendados
O alvorecer da guerra cibernética
Stuxnet é quase como algo saído de um romance de Tom Clancy. Em vez de enviar mísseis para destruir uma central nuclear que ameaça toda a região e o mundo, e é supervisionada por um presidente que afirmou que ele gostaria de ver uma raça inteira de pessoas “varrida do mapa”, um simples vírus de computador pode ser introduzido e fará o trabalho muito mais efetivamente. Atacar uma estrutura com mísseis pode levar à guerra e, além disso, os edifícios podem ser reconstruídos. Mas infectar um sistema tão completamente que as pessoas que o utilizam comecem a duvidar da sua fé nas suas próprias capacidades terá efeitos muito mais devastadores a longo prazo.
Num raro momento de abertura por parte do Irão, a nação confirmado que o malware Stuxnet (o nome deriva de palavras-chave enterradas no código) que foi originalmente descoberto em Julho, prejudicou as ambições nucleares do país. Embora o Irão esteja a minimizar o incidente, alguns relatórios sugerem que o worm foi tão eficaz que pode ter atrasado o programa nuclear iraniano em vários anos.
Em vez de simplesmente infectar um sistema e destruir tudo o que ele toca, o Stuxnet é muito mais sofisticado do que isso e também muito mais eficaz.
O worm é inteligente e adaptável. Quando entra em um novo sistema, permanece inativo e aprende o sistema de segurança do computador. Uma vez que consegue operar sem disparar o alarme, ele procura alvos muito específicos e começa a atacar determinados sistemas. Em vez de simplesmente destruir os seus alvos, faz algo muito mais eficaz: engana-os.
Num programa de enriquecimento nuclear, uma centrífuga é uma ferramenta fundamental necessária para refinar o urânio. Cada centrífuga construída segue a mesma mecânica básica, mas o fabricante alemão Siemens oferece o que muitos consideram o melhor do setor. O Stuxnet procurou os controladores da Siemens e assumiu o comando do modo como a centrífuga gira. Mas em vez de simplesmente forçar as máquinas a girar até que elas se destruíssem – o que o worm era mais do que capaz de fazer – o Stuxnet fez mudanças sutis e muito mais tortuosas nas máquinas.
Quando uma amostra de urânio era inserida em uma centrífuga infectada pelo Stuxnet para refinamento, o vírus comandava a máquina para girar mais rápido do que foi projetado e parava repentinamente. Os resultados foram milhares de máquinas que se desgastaram anos antes do previsto e, mais importante, amostras arruinadas. Mas o verdadeiro truque do vírus era que, enquanto sabotava a maquinaria, falsificava as leituras e fazia parecer que tudo estava a funcionar dentro dos parâmetros esperados.
Depois de meses assim, as centrífugas começaram a se desgastar e quebrar, mas como as leituras ainda parecia estar dentro das normas, os cientistas associados ao projeto começaram a questionar eles mesmos. Os agentes de segurança iranianos começaram a investigar as falhas e o pessoal das instalações nucleares vivia sob uma nuvem de medo e suspeita. Isso durou mais de um ano. Se o vírus tivesse conseguido evitar completamente a detecção, eventualmente teria se apagado completamente e deixado os iranianos se perguntando o que estavam fazendo de errado.
Durante 17 meses, o vírus conseguiu penetrar silenciosamente nos sistemas iranianos, destruindo lentamente amostras vitais e danificando o equipamento necessário. Talvez mais do que os danos às máquinas e às amostras tenha sido o caos em que o programa foi lançado.
Os iranianos admitem a contragosto alguns dos danos
O presidente iraniano, Mahmoud Ahmadinejad, reivindicado que o Stuxnet “conseguiu criar problemas para um número limitado de nossas centrífugas”, o que é uma mudança em relação A afirmação anterior do Irão de que o worm tinha infectado 30.000 computadores, mas não tinha afectado a energia nuclear instalações. Alguns relatórios sugerir nas instalações de Natanz, que abrigam os programas de enriquecimento iranianos, 5.084 das 8.856 centrífugas em uso na usina nuclear iraniana instalações foram desativadas, possivelmente devido a danos, e a usina foi forçada a fechar pelo menos duas vezes devido aos efeitos do vírus.
O Stuxnet também teve como alvo a turbina a vapor de fabricação russa que alimenta as instalações de Bushehr, mas parece que o vírus foi descoberto antes que qualquer dano real pudesse ser causado. Se o vírus não tivesse sido descoberto, acabaria por aumentar muito as RPMs das turbinas e causar danos irreparáveis a toda a central eléctrica. Os sistemas de temperatura e refrigeração também foram identificados como alvos, mas os resultados do worm nesses sistemas não são claros.
A descoberta do verme
Em junho deste ano, os especialistas em antivírus da Bielo-Rússia, VirusBlokAda, encontraram um programa de malware até então desconhecido no computador de um cliente iraniano. Depois de pesquisá-lo, a empresa de antivírus descobriu que ele foi projetado especificamente para atingir o Siemens SCADA sistemas de gerenciamento (controle de supervisão e aquisição de dados), que são dispositivos usados em larga escala fabricação. A primeira pista de que algo estava diferente nesse worm foi que, uma vez acionado o alerta, todos os empresa que tentou repassar o alerta foi posteriormente atacada e forçada a fechar por pelo menos 24 horas. Os métodos e motivos dos ataques ainda são um mistério.
Uma vez descoberto o vírus, empresas como a Symantec e a Kaspersky, duas das maiores empresas de antivírus do mundo, bem como várias agências de inteligência começaram a pesquisar o Stuxnet e encontraram resultados que rapidamente tornaram óbvio que não se tratava de um malware comum.
No final de Setembro, a Symantec descobriu que quase 60% de todas as máquinas infectadas no mundo estavam localizadas no Irão. Uma vez descoberto isso, tornou-se cada vez mais evidente que o vírus não foi concebido simplesmente para causar problemas, como acontece com muitos malwares, mas tinha um propósito muito específico e um alvo. O nível de sofisticação também estava bem acima de tudo visto antes, o que levou Ralph Langner, o especialista em segurança de computadores que descobriu o vírus, a declarar que foi “como a chegada de um F-35 a um campo de batalha da Primeira Guerra Mundial”.
Como funcionou
O Stuxnet visa especificamente os sistemas operacionais Windows 7, que é, não por coincidência, o mesmo sistema operacional usado na usina nuclear iraniana. O worm usa quatro ataques de dia zero e tem como alvo específico o software WinCC/PCS 7 SCADA da Siemens. Uma ameaça de dia zero é uma vulnerabilidade desconhecida ou não anunciada pelo fabricante. Geralmente, essas são vulnerabilidades críticas do sistema e, uma vez descobertas, corrigidas imediatamente. Nesse caso, os dois elementos de dia zero foram descobertos e estavam perto de ter uma correção lançada, mas outros dois nunca haviam sido descobertos por ninguém. Assim que o worm entrou no sistema, ele começou a explorar outros sistemas na rede local que tinha como alvo.
À medida que o Stuxnet avançava pelos sistemas iranianos, foi desafiado pela segurança do sistema a apresentar um certificado legítimo. O malware apresentou então dois certificados autênticos, um do fabricante do circuito JMicron e outro do fabricante de hardware de computador Realtek. Ambas as empresas estão localizadas em Taiwan, a poucos quarteirões de distância uma da outra, e foi confirmado que ambos os certificados foram roubados. Esses certificados autênticos são uma das razões pelas quais o worm conseguiu permanecer indetectado por tanto tempo.
O malware também tinha a capacidade de se comunicar por meio de compartilhamento peer-to-peer quando havia uma conexão com a Internet, o que lhe permitia atualizar conforme necessário e relatar seu progresso. Os servidores com os quais o Stuxnet se comunicou estavam localizados na Dinamarca e na Malásia, e ambos foram desligados quando foi confirmado que o worm entrou nas instalações de Natanz.
À medida que o Stuxnet começou a se espalhar pelos sistemas iranianos, ele começou a ter como alvo apenas os “conversores de frequência” responsáveis pelas centrífugas. Usando drives de frequência variável como marcadores, o worm procurou especificamente drives de dois fornecedores: Vacon, com sede na Finlândia, e Fararo Paya, com sede no Irã. Em seguida, ele monitora as frequências especificadas e só ataca se o sistema estiver funcionando entre 807 Hz e 1210 Hz, um comportamento bastante raro. frequência que explica como o worm poderia atingir tão especificamente as usinas nucleares iranianas, apesar de se espalhar pelo mundo. O Stuxnet então começa a alterar a frequência de saída, o que afeta os motores conectados. Embora pelo menos 15 outros sistemas da Siemens tenham relatado infecção, nenhum sofreu qualquer dano causado pelo worm.
Para chegar primeiro à instalação nuclear, o worm precisava ser introduzido no sistema, possivelmente em uma unidade USB. O Irão utiliza um sistema de segurança de “air gap”, o que significa que a instalação não tem ligação à Internet. Isso pode explicar por que o worm se espalhou até agora, já que a única maneira de infectar o sistema é atingir uma área ampla e agir como um Trojan enquanto espera que um funcionário nuclear iraniano receba um arquivo infectado fora da instalação e o traga fisicamente para o plantar. Por conta disso, será quase impossível saber exatamente onde e quando a infecção começou, pois ela pode ter sido trazida por vários funcionários desavisados.
Mas de onde veio e quem o desenvolveu?
As suspeitas sobre a origem do worm são crescentes e o único suspeito mais provável é Israel. Depois de pesquisar minuciosamente o vírus, a Kaspersky Labs anunciado que o nível de ataque e a sofisticação com que foi executado só poderiam ter sido realizados “com o apoio do Estado-nação”, o que exclui hackers privados grupos, ou mesmo grupos maiores, que têm utilizado a pirataria informática como meio para atingir um fim, como a Máfia Russa, que é suspeita de criar um worm Trojan responsável por roubando US$ 1 milhão de um banco britânico.
Israel admite plenamente que considera a guerra cibernética um pilar da sua doutrina de defesa, e o grupo conhecido como Unidade 8200, um A força de defesa israelense, considerada o equivalente aproximado da NSA dos Estados Unidos, seria o grupo mais provável responsável.
A Unidade 8200 é a maior divisão das Forças de Defesa de Israel e, no entanto, a maioria das suas operações é desconhecida – até mesmo a identidade do Brigadeiro-General encarregado da unidade é confidencial. Entre suas muitas façanhas, uma relatório afirma que durante um ataque aéreo israelense a uma suposta instalação nuclear síria em 2007, a Unidade 8200 ativou um interruptor secreto de segurança cibernética que desativou grandes seções do radar sírio.
Para dar ainda mais credibilidade a esta teoria, em 2009, Israel adiou para 2014 a data em que espera que o Irão tenha armamento nuclear rudimentar. Isto pode ter sido resultado de ouvir falar de problemas, ou pode sugerir que Israel sabia algo que ninguém mais sabia.
Os EUA também são o principal suspeito e, em Maio deste ano, o Irão alegou ter preso 30 pessoas alegam estar envolvidas em ajudar os EUA a travar uma “guerra cibernética” contra o Irão. O Irão também afirmou que a administração Bush financiou um plano de 400 milhões de dólares para desestabilizar o Irão através da utilização de ataques cibernéticos. O Irão afirmou que a administração Obama deu continuidade ao mesmo plano e até acelerou alguns dos projectos. Os críticos afirmaram que as reivindicações do Irão são simplesmente uma desculpa para eliminar os “indesejáveis”, e as prisões são um dos muitos pontos de discórdia entre o Irão e os EUA.
Mas à medida que o vírus continua a ser estudado e surgem mais respostas sobre a sua função, mais mistérios são levantados sobre as suas origens.
Segundo a Microsoft, o vírus teria exigido pelo menos 10.000 horas de codificação, e uma equipe de cinco pessoas ou mais, pelo menos seis meses de trabalho dedicado. Muitos especulam agora que isso exigiria os esforços combinados das comunidades de inteligência de várias nações, todas trabalhando em conjunto para criar o worm. Embora os israelitas possam ter a determinação e os técnicos, alguns afirmam que seria necessário o nível de tecnologia dos Estados Unidos para codificar o malware. Conhecer a natureza exacta da maquinaria da Siemens na medida em que o Stuxnet o fez poderia sugerir que a Alemanha envolvimento, e os russos podem ter estado envolvidos no detalhamento das especificações do maquinário russo usado. O worm foi adaptado para operar em frequências que envolviam componentes finlandeses, o que sugere que a Finlândia e talvez a OTAN também estejam envolvidas. Mas ainda existem mais mistérios.
O worm não foi detectado devido às suas ações nas instalações nucleares iranianas, mas sim como resultado da infecção generalizada do Stuxnet. O núcleo de processamento central da usina de processamento nuclear iraniana está localizado no subsolo e totalmente isolado da Internet. Para que o worm infecte o sistema, ele deve ter sido instalado no computador ou em uma unidade flash de um membro da equipe. Bastaria um único funcionário para levar trabalho para casa, depois retornar e inserir algo como inócuo como um pen drive no computador, e o Stuxnet iniciaria sua marcha silenciosa em direção ao maquinário específico isso queria.
Mas a questão então é: Porque é que as pessoas responsáveis pelo vírus desenvolveram uma arma cibernética tão incrivelmente sofisticada e depois libertaram-na num método que pode ser considerado tão desleixado? Se o objetivo era permanecer sem ser detectado, a liberação de um vírus que tem a capacidade de se replicar na velocidade que demonstrou é desleixada. Era uma questão de quando, e não se, o vírus seria descoberto.
A razão mais provável é que os desenvolvedores simplesmente não se importaram. Plantar o malware com mais cuidado levaria muito mais tempo, e a transmissão do worm para sistemas específicos poderia levar muito mais tempo. Se um país procura resultados imediatos para travar o que pode considerar um ataque iminente, então a rapidez pode ser mais importante que a cautela. A central nuclear iraniana é o único sistema infectado que reporta qualquer dano real do Stuxnet, pelo que o risco para outros sistemas parece ser mínimo.
Então, o que vem a seguir?
A Siemens lançou uma ferramenta de detecção e remoção do Stuxnet, mas o Irã ainda está lutando para remover o malware completamente. Ainda recentemente, em 23 de Novembro, as instalações iranianas de Natanz foram forçado para encerrar e mais atrasos são esperados. Eventualmente, o programa nuclear deverá voltar a funcionar.
Numa história separada, mas possivelmente relacionada, no início desta semana dois cientistas iranianos foram mortos por ataques à bomba separados, mas idênticos, em Teerão, no Irão. Numa conferência de imprensa no dia seguinte, o Presidente Ahmadinejad contado repórteres que “sem dúvida, a mão do regime sionista e dos governos ocidentais está envolvida no assassinato”.
Hoje cedo, autoridades iranianas reivindicado ter feito várias prisões nos atentados e, embora as identidades dos suspeitos não tenham sido divulgadas, o Ministro da Inteligência do Irã disse: “O três agências de espionagem do Mossad, CIA e MI6 tiveram um papel nos (ataques) e, com a prisão dessas pessoas, encontraremos novas pistas para prender outras elementos”,
A combinação dos atentados e dos danos causados pelo vírus Stuxnet deve pesar nas próximas negociações entre o Irã e uma confederação de seis nações composta por China, Rússia, França, Grã-Bretanha, Alemanha e EUA em 6 de dezembro e 7. As conversações destinam-se a continuar o diálogo sobre as possíveis ambições nucleares do Irão.
