Stuxnet — Operation Olympic Games

Lectura en audio de esta entrada.

Los antecedentes

El programa nuclear de Irán llevado a cabo en la planta de enriquecimiento de combustible de Natanz bajo las salvaguardias de la Agencia Internacional de Energía Atómica había sido objeto de preocupación occidental e israelí sostenida a lo largo de la década de 2000. Para 2006, el OIEA había informado del fracaso de Irán en declarar aspectos de su programa de enrichamiento; el Consejo de Seguridad de la ONU había impuesto sanciones sucesivas; y la perspectiva de un ataque militar israelí o estadounidense contra las instalaciones nucleares iraníes se había convertido en un elemento recurrente del debate sobre la política regional.[1]

La Administración Bush, en este contexto, buscó una opción no cinética que pudiera ralentizar materialmente el programa de enriquecimiento iraní sin producir las consecuencias regionales de un ataque militar. Según las posteriores entrevistas registradas por funcionarios estadounidenses con el New York Times ' David Sanger, el programa resultante con nombre en código Operación Juegos Olímpicos fue autorizado por el presidente Bush aproximadamente en 2006 y continuó bajo el presidente Obama, quien amplió sustancialmente su alcance. El programa fue desarrollado conjuntamente por la Agencia de Seguridad Nacional de los Estados Unidos, la Central Intelligence Agency y la Unidad 8200 del director del Amanate de Israel, con el apoyo operativo reportado por Mossad.

El objetivo operativo era las salas de cascada de Natanz la instalación subterránea en la que Irán operaba miles de centrífugas IR-1 en una configuración en cascada para enriquecer hexafluoruro de uranio. El objetivo técnico era producir fallas de la centrífuga a una tasa ligeramente superior a la tasa de falla natural, en un patrón que sería difícil para los ingenieros iraníes atribuir a un sabotaje deliberado en lugar de a defectos mecánicos o materiales en las mismas centrifugadoras.[1]

La Operación

El gusano ahora conocido públicamente como Stuxnet era una carga útil de malware de Microsoft Windows de una sofisticación sin precedentes, con un peso de aproximadamente 500 kilobytes y explotando cuatro vulnerabilidades de Windows previamente desconocidas ("día cero") la primera vez que se había observado algún malware utilizando más de un día cero. Se propagó a través de unidades USB extraíbles, acciones de red y vulnerabilidades del spooler de impresora, pero fue diseñado específicamente para tomar medidas solo cuando encontró un sistema objetivo que ejecutaba el software de control industrial Siemens Step7, conectado a controladores lógicos programables (PLC) de modelos específicos de Siemens, y configurado con parámetros que coincidían con una cascada de centrífuga un nivel de especificidad de objetivo sin precedente en malware documentado públicamente.

Cuando Stuxnet identificó su entorno objetivo, modificó el código PLC para variar las frecuencias del rotor de la centrifugadora en patrones diseñados para producir fallas mecánicas de las centrífugas: girando los rotores por encima de la frecuencia segura del límite superior, luego dejándolos caer por debajo de los límites inferiores seguros, en ciclos destinados a fatigar los materiales de rotor.

La operación cruzó la brecha de aire de Natanz la desconexión deliberada de los sistemas de control industrial de la instalación de la Internet pública a través, en cuentas publicadas, de una combinación de compromiso de la cadena de suministro de compañías relacionadas con las centrífugas iraníes y la introducción inadvertida de Stuxnet en unidades USB por parte de personas que trabajan en la planta.

Divulgación

La existencia de Stuxnet se hizo pública en junio de 2010, cuando la empresa de seguridad de la información bielorusa VirusBlokAda recibió muestras de un revendedor en Irán que mostraban malware inusual. Los investigadores bielorrusos identificaron inicialmente el día cero de LNK y el uso de un certificado digital robado de Realtek. El análisis posterior de Symantec, Kaspersky Lab y sucesivas empresas del sector privado produjeron la comprensión técnica pública del gusano.

El primer reconocimiento sustancial registrado por el gobierno de los Estados Unidos se produjo en el artículo de David Sanger de junio de 2012 New York Times "La orden de Obama aceleró la ola de ataques cibernéticos contra Irán", publicado como un extracto de su libro Confrontar y ocultar, basado en entrevistas oficiales estadounidenses. El artículo identificó la operación por su nombre en clave Juegos Olímpicos y proporcionó detalles operativos sustanciales. El papel israelí fue reconocido en sucesivas cuentas de prensa israelíes, incluidos informes en Haaretz, Yedioth Ahronoth y * Times of Israel.

Los procedimientos posteriores del Departamento de Justicia de los Estados Unidos, incluido el enjuiciamiento del general retirado del Cuerpo de Marines James Cartwright en octubre de 2016 por declaraciones falsas a los investigadores en relación con las revelaciones relacionadas con Stuxnet, produjeron un material de registro público adicional limitado. El presidente Obama perdonó a Cartwrigh en sus últimos días en el cargo. [1]

El legado

Stuxnet ha sido caracterizado en esencialmente toda la literatura académica y política posterior como el primer uso públicamente documentado de un arma cibernética para producir la destrucción del mundo físico. La operación estableció tres cosas que han dado forma al debate posterior de la política y el ciberconflicto. Primero, que las brechas aéreas podrían ser atravesadas por actores estatales pacientes y con buenos recursos. Segundo, que los sistemas de control industrial, no solo los sistemas informáticos, eran objetivos viables de ciberataque, con implicaciones para la infraestructura crítica a través de la energía, el agua, el transporte y otros sectores. En tercer lugar, las ciberoperaciones podrían producir efectos cinéticos equivalentes a las operaciones militares, planteando preguntas sustanciales sobre el derecho internacional humanitario y el derecho de los conflictos armados.

Para la relación entre Estados Unidos e Irán, la divulgación de los Juegos Olímpicos ha sido caracterizada por los funcionarios iraníes como el evento precipitante para una inversión iraní sustancial en la capacidad cibernética ofensiva. Las operaciones ciberneticas atribuidas a Irán contra objetivos estadounidenses, incluido el ataque de 2012 a Saudi Aramco Shamoon, los ataques de denegación de servicio distribuido de 2012 contra bancos estadounidenses y las operaciones sucesivas en el período posterior a 2015, han sido calificadas por funcionarios estadounidenses como parte del ciclo iniciado por los juegos olímpicos.[1]

La operación también produjo una reflexión sustancial de la política occidental sobre las consecuencias del uso de armas cibernéticas. La fuga accidental de Stuxnet de Natanz su propagación a sistemas fuera de su entorno objetivo previsto, donde su código estuvo disponible para el análisis por parte de investigadores de seguridad, autores de malware y servicios estatales rivales se ha caracterizado en la literatura posterior como un ejemplo paradigmático de la dificultad de contener las operaciones informáticas.

Agencias relacionadas

Esta operación está documentada en detalle en las páginas de la agencia de la Agencia de Seguridad Nacional (Operación Juegos Olímpicos), la Agencia Central de Inteligencia (CIA) y la Dirección de Intelicencia Militar (Aman) (que albergaba la Unidad 8200, el componente de inteligencia de señales israelí). El apoyo operativo del Mossad se hace referencia en la página Mossad. El contexto a nivel de país está en la páginas para Israel y los Estados Unidos); el contexto operativo objetivo es relevante para Irán (Irán).

Fuentes y lecturas adicionales

La Agencia Internacional de Energía Atómica, la Implementación del Acuerdo de Salvaguardias del TNP en la República Islámica de Irán, los sucesivos informes del Director General, 2003 presente. David E. Sanger, Dossier de la Oficina de Información de las Naciones Unidas sobre las Guerras Cibernéticas contra Irán, Desarrollado por el Centro de Investigaciones Científicas y Técnicas contra las Armas Nucleares de Estados Unidos (CCIU) y el Grupo de Análisis Técnico de las Fuerzas Armadas de los Estados Unidos, de noviembre de 2011 a noviembre de 2014 (https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-instagairan.html).