Azpiegitura kritikoak erasotzen dituen malwarea

Kaixo irakurle, gaurkoan elkarrizketa interesgarri batekin natorkizu, Flame, Mahdi, Stuxnet eta Duqu izenez ezagutzen ditugun birus eta zomorroei egindako elkarrizketarekin hain zuzen. Behar bada ezezagun egingo zaizkizun arren, jakin ezazu azken urteetan azpiegitura kritikoak erasotzeko edo berauei buruz informazioa lortzeko sortuak izan direla. Testuinguru honetan kokatzeko asmoz, azpiegitura kritikoak gizarte garatu baten funtzionamendu egokia bermatzeko azpiegitura gisa definitzen dira, energia ekoizpen eta barreiaketa, ur hornidura eta saneamendua, garraioak… esaterako; birus eta zomorroak aldiz egungo informazio eta komunikazio teknologiek jasan ditzaketen erasoetan erabili ohi diren programa informatiko bezala ezagutzen dira, mota bakoitzak eginkizun zehatz bat duelarik.

via Flickr by Gary Henderson

Elkarrizketatuetariko batzuek, beraien sortzaileei buruzko aztarnarik ez zabaltzeko asmoz, galdera askori erantzutea nahi izan ez dioten arren hona hemen gaurko lau gonbidatuei eginiko elkarrizketa:

Zuen eginkizuna kontuan izanik isilpean sortuak izan zarete, hau da, zuen sortzaileak edo sortzaileek ez dute zuei buruzko informaziorik eman ez eta beraien nortasuna kaleratu. Zein helbururekin izan zarete sortuak?

Flame. Nire eginkizuna ziber espioitza da, hau da, informazioa neureganatu eta nire sortzaileei bidaltzea.

Mahdi. Flameren antzera nire eginkizuna ziber espioitza da. 

Stuxnet. Aurreko biak ez bezala, nik kontrolatzaile logiko programagarriak, PLC bezala ezagutu eta sistema industrialak kontrolatzeko erabiltzen direnak, erreprogramatu eta aldaketak ezkutatzen ditut. Horrez gain informazioa ere biltzen dut.

Duqu. Nik ere ziber espioitza dut helburutzat, batik bat industriako kontrol sistemak erasotzeko interesgarria den informazioa neureganatzen baitut.

Zuen eginkizuna edo helburua betetzeko asmoz aurreneko pausoa sistema ezberdinetan zehar hedatzea da, ahalik eta gailu gehien kutsatzea. Zein da hedatzeko erabiltzen duzuen sistema? Dagoeneko zenbat ordenagailu kutsatu dituzue?

Flame. Ni sare lokal (LAN) eta USB memoriak erabiliz hedatzen naiz. Oraingoz 1000 ordenagailu inguru kutsatu ditut, hauen artean organizazio gubernamentalen, edukazio institutuen eta erabiltzaile pribatuen ordenagailuak daudelarik. kutsatutako ordenagailuen gehiengoa Iran, Israel, Sudan, Siria, Libano, Arabia Saudi eta Egipton daude.

Mahdi. Nik momentuz 800 ordenagailu inguru kutsatu ditut, gehienak Iranen.

Stuxnet. Hasiera batean infektatutako USB memoriak erabiliz hedatzen naizen arren, beste segurtasun zulo batzuk aprobetxatuz sarean konektaturiko eta Siemensen WinCC softwarea duten ekipoak kutsatzen ditut. Sisteman sartu ondoren lehenetsitako pasahitzen bidez, Siemens fabrikatzaileak lehenetsitako pasahitzak ez aldatzea gomendatzen baitu, kontrol osoa neureganatzen dut. Egia esan dagoeneko milaka ordenagailu kutsatu ditut, 2010.urtean kopurua 100000 ordenagailutik gora kokatzen zelarik. Aurreko bien kasuan bezala, kutsatutako ordenagailuen gehiengoa Iranen kokatzen da, nire helburua bertan egonik erraz ulertu daitekeelarik.

Duqu. Oraindik nire hedatze sistema ikertzeko dagoen arren, jasotako informazioa nazio ezberdinetan banaturik dauden zerbitzarietara bidaltzen dut, Alemania, Belgika, Filipinak eta Txina esaterako. Nire kutsadura maila txikia dela esaten dute, ordenagailu gutxitan aurkitua izan naizela. Beharbada 36 eguneko bizitza izateak eragiten du horren hedatze maila txikia izatea. Dena den industriako kontrol sistemak garatzen dituzten enpresetan aurkitua izan naiz, horrela argi eta garbi gelditzen delarik zein motatako informazio bila aritzen naizen.

Logikoa den bezala zuen sortzaileek ez dute zuei buruzko inongo daturik ez azalpenik eman. Nor izan zen zuen aurkitzailea? Noiz izan zineten aurkituak?

Flame. Aurrez aurkitua izan nintzen arren publikoki 2012.urteko maiatzaren 28an eman zuten nire berri MAHER, Kaspersky Lab eta CrySyS Lab enpresek. Izen ezberdinak jarri dizkidate, Flame, Flamer, eta Skywiper esaterako. Batzuek 2007.urteaz geroztik ari naizela lanean esaten dute, nik ordea ezin dut data ofizialik argitu.

Mahdi. 2012.urteko otsailean aurkitu ninduten Seculert enpresakoek. Dena den 2011.urteko abendutik ari naizela lanean esaten dute.

Stuxnet. VirusBlokAda enpresa Bielorrusiarrak aurkitu ninduen 2010.urteko ekainean. Aurre azterketa baten ondoren sistema industrialak espiatu eta erreprogramatzen dituen lehen zomorrotzat jo ninduten.

Duqu. CrySyS Lab enpresak 2011.urteko irailaren 1ean aurkitu ninduen eta Duqu izena jarri zidan, sortzen ditudan artxiboen izena (~DQ) dela eta.

Helburu ezberdinarekin sortuak izan zarete, zeintzuk dira argitara eman diren zuen gaitasunak?

Flame. Nire gaitasunen artean audioa grabatzea, pantailako informazioaren irudi bat jasotzea, teklatuaren bidez idatzi dena jasotzea, sareko trafikoa gordetzea, Skype programaren bidez eginiko elkarrizketak grabatzea eta Bluetooth teknologiaren bidez komunikatzen diren gailuak kudeatu eta beraingandik informazioa jasotzea daude. Horrez gain jasotako informazio guztia eta ordenagailuko beste hainbat datu munduan zehar banatuta dauden zerbitzari ezberdinetara bidali eta agindu berriei itxarotea daude. Gainera kutsatzen dudan ordenagailuan birusen aurkako zein programa instalaturik dagoen antzemateko gai naiz, horrela nire izeneko estentsioa aldatu eta detektatzea eragotziz. Azkenik, desaktibazio datarik ez dudan arren nire sortzeileek hurruneko agindu baten bidez desaktibatu eta nire arrastro guztiak ezabatzeko eskatu diezadakete.

Stuxnet. Prozesuen monitorizazio eta kontrolaz arduratzen diren SCADA sistemak erreprogramatu ditzaket; egindako aldaketak eskutatu ere bai, horretarako rootkit izenez ezagutzen den programa informatiko batez osatua baitnago. Siemens enpresaren WinCC/PCS 7 softwarea nire helburu nagusia izanik, ezagutzen ez ziren Windows sistema eragilearen lau zaurkortasunez baliatzen naiz helburua lortzeko asmotan. Nire erasoak guztiz zuzenduak daude, erasoa burutu aurretik instalatu berri naizen instalazioan jakineko bi enpresek sortutako motore aldagarrien zenbaki zehatz batzuk egiaztatzen baititut. Motore aldagarri ezberdinen kopurua kontutuan izanik erasoaren metodologia aldatzen dut ahalik eta erasokorrena izan nadin. Lapurtutako bi zertifikatu digital ezberdinez sinatua nago, nireganako konfidantza haunditzeko asmoz. Azkenik P2P konexioen bidez eguneratzen naiz, honek kontroleko zerbitzaria desaktibaturik ere eguneratzeko aukera ematen didalarik.

Duqu. Teklatuko pultsazioak eta sistemako informazioa lapurtzeaz gain, zertifikatu digitalak ere lapurtu ditzaket etorkizunean sortu beharreko birusek erabili ditzaten. Zerbitzarietara informazioa bidaltzeko garaian JPEG formatuko iruadiak eta enkriptatutako artxiboak erabiltzen ditut. Azkenik, lanean hasi eta 36 egunen ondoren eliminatzen naiz.

Zein ondorio izan dezake zuek lanak?

Flame. Informazioa lapurtzeak eragin zuzenik ez duen arren, nik eskuratzen dudan informazioa zuzendutako eraso aurreratuak prestatzeko erabil daiteke. Hori dela eta nire aurkako babes neurriak argitaratuak izan dira.

Stuxnet. Azpiegitura kritikoak maneiatzen dituzten enpresei ez zaie beraiei buruzko informazio kaltegarririk zabaltzea gustatzen. Hau da, beraien aurkako erasoren batek arrakasta izaten badu ere nahiago dute erasoaren berri ez ematea, honek galera ekonomikoak eragiten baitizkie. Hori dela eta munduak ez du nik gauzatutako erasoen berri edo kaleratu den informazioa ez da behar bestekoa. Horrez gain, bai Siemens baita BitDefender enpresak ere nire aurkako babes neurriak kaleratu dituzte, eta Windows sistemetatik nik erabiltzen ditudan zaurkortasunak ekiditeko eguneratzeko gomendioa ematen dute.

Duqu. Nire helburua informazioa lortu eta ziurtagiri digitalak eskuratzea izanik, nire sortzaileek eraso bat gauzatzeko guztiz zuzendutako tresna eraginkorrak sortu ditzakete. Hau horrela izanik, nire lanaren ondorioak zuzenak ez izan arren zeharkako ondorioak itzelak izan daitezke.

Zuen sortzaileek zuek sortzeko orduan erabilitako lengoaia informatikoek zuen gaineko informazioa ematen dute. Zein lengoaia informatiko erabili dute zuek sortzeko?

Flame. Partzialki Lua lengoaia interpretatuan idatzia izan naiz, nahiz eta C++ lengoaian konpilatua izan naizen. Lua erabiltzeak, exekuzio garaian modulu ezberdinak kargatzearen abantaila ematen dit, horrela nire hasierako gaitasunak handituz.

Stuxnet. Lengoaia informatiko bat baino gehiago erabili dituzte nire sortzaileek, hauen artean C eta C++.

Duqu. Objektuetara orientatutako C lengoaian idatzirik nagoela esaten dute eta ez dutela maila altuko programazio lengoaiarik erabili, C++, Python, Ada, Lua eta beste hainbat esaterako.

Azkenik, zuen arteko berdintasunek zuen sortzaileen arteko berdintasunak edo sortzaile berberak izatea adierazten du. Zeintzuk dira zuen arteko berdintasunak?

Flame. Niri Stuxnetekin dudala antza esaten didate, biok Windows sistemak kutsatzeko bi zaurkortasun berdin erabiltzen baititugu. Horrez gain Stuxnet eta Duqu bezala helburu zehatz batekin sortua izan nintzen eta hauek bezala rootkit baten bidez birusen aurkako programek aurkitu ez nazaten ezkutatzeko gai naiz.

Stuxnet. Ni eta Duqu oso antzerakoak garela esaten dute, gure helburua ezberdina izan arren. Dena den biok Iran-eko programa nuklearraren inguruko informazioa lortu eta erasotzeko sortuak izan garela esaten dute.

Hauxe izan da gaurko elkarrizketak eman duena. Zuen interesekoa izan delakoan, eskerrik asko eta beste bat arte.