MOLÓN SAN
Madmaxista
Un topo holandés fue el q ayudó a infectar el sistema informático iraní.
Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran
Durante años, un misterio duradero ha rodeado el ataque del bichito Stuxnet que tuvo como objetivo el programa nuclear de Irán: ¿cómo los EE. UU. E Israel introdujeron su malware en los sistemas informáticos de la planta de enriquecimiento de uranio altamente segura?
El primer bichito de este tipo, diseñado para sabotear el programa nuclear de Irán, lanzó efectivamente la era de la guerra digital y se desató en algún momento en 2007, después de que Irán comenzó a instalar su primer lote de centrifugadoras en una controvertida planta de enriquecimiento cerca de la aldea de Natanz
El mensajero detrás de esa intrusión, cuya existencia y función no han sido reportadas previamente, fue un topo interno reclutado por agentes de inteligencia holandeses a instancias de la CIA y la agencia de inteligencia israelí, el Mossad, según fuentes que hablaron con Yahoo News.
Un ingeniero iraní reclutado por la agencia de inteligencia holandesa AIVD proporcionó datos críticos que ayudaron a los desarrolladores estadounidenses a dirigir su código a los sistemas de Natanz, según cuatro fuentes de inteligencia. Ese topo luego proporcionó el acceso interno muy necesario cuando llegó el momento de deslizar Stuxnet en esos sistemas utilizando una unidad flash USB.
En 2004, se pidió a los holandeses que ayudaran a la CIA y al Mossad a acceder a la planta, pero no fue hasta tres años después que el topo, que se hizo pasar por un mecánico que trabajaba para una empresa de de derechasda que trabajaba en Natanz, entregó el arma digital. a los sistemas específicos. "[El] lunar holandés fue la forma más importante de introducir el bichito en Natanz", dijo una de las fuentes a Yahoo.
Ni la CIA ni el Mossad respondieron a las preguntas de Yahoo News sobre la información. La AIVD declinó hacer comentarios sobre su participación en la operación.
La ahora famosa operación encubierta conocida como "Juegos Olímpicos" fue diseñada no para destruir el programa nuclear de Irán directamente sino para retrasarlo por un tiempo para ganar tiempo para que las sanciones y la diplomacia surtan efecto. Esa estrategia fue exitosa en ayudar a traer a Irán a la mesa de negociaciones, y finalmente resultó en un acuerdo con el país en 2015.
La revelación de la participación holandesa se remonta a una época en que todavía había una amplia cooperación y un fuerte acuerdo multilateral entre los EE. UU. Y sus aliados sobre cómo lidiar con el programa nuclear iraní, una situación que cambió el año pasado después de que la administración Trump se retiró El acuerdo nuclear que tanto se ganó con Teherán.
Ver fotos
Más
La operación de los Juegos Olímpicos fue principalmente una misión conjunta de Estados Unidos e Israel que involucró a la NSA, la CIA, el Mossad, el Ministerio de Defensa de Israel y la Unidad Nacional Israelí SIGINT, el equivalente israelí de la NSA. Pero los EE. UU. E Israel contaron con la asistencia de otras tres naciones, según las fuentes, de ahí el nombre en clave encubierto que dio un guiño al símbolo de cinco anillos del evento deportivo internacional más famoso del mundo. Dos de los tres jugadores participantes fueron Holanda y Alemania. Se cree que el tercero es Francia, aunque la inteligencia del Reino Unido también jugó un papel.
Alemania aportó especificaciones técnicas y conocimientos sobre los sistemas de control industrial realizados por la firma alemana Siemens que se utilizaron en la planta iraní para controlar las centrifugadoras giratorias, según las fuentes. Se cree que Francia ha proporcionado inteligencia de un tipo similar.
Pero los holandeses estaban en una posición única para desempeñar un papel diferente: brindar inteligencia clave sobre las actividades de Irán para adquirir equipos de Europa para su programa nuclear ilícito, así como información sobre las centrifugadoras. Esto se debe a que las centrifugadoras en Natanz se basaron en diseños robados a una empresa holandesa en la década de 1970 por el científico pakistaní Abdul Qadeer Khan. Khan robó los diseños para construir el programa nuclear de Pakistán, luego procedió a comercializarlos a otros países, incluidos Irán y Libia.
La agencia de inteligencia holandesa, conocida como AIVD, junto con la inteligencia de EE. UU. Y Gran Bretaña, se infiltró en la red de suministro de consultores europeos y compañías líderes de Khan que ayudaron a construir los programas nucleares en Irán y Libia. Esa infiltración no solo involucró el comercio de la vieja escuela, sino que también empleó operaciones de piratería ofensivas que se desarrollaron como parte del campo floreciente del espionaje digital.
Las capacidades cibernéticas de AIVD son bien conocidas ahora: el año pasado se reveló que AIVD fue responsable de informar al FBI sobre el hackeo del Comité Nacional Demócrata en 2016, conocimiento que había adquirido porque sus operativos habían pirateado computadoras pertenecientes al grupo de piratería ruso conocido como Cozy Bear en 2014 y estaban viendo en 2015 cuando los rusos irrumpieron en las computadoras del Departamento de Estado de los EE. UU. y el DNC.
Pero durante los primeros días del programa nuclear de Irán, el equipo de piratería de AIVD era pequeño y todavía estaba en desarrollo.
El programa iraní, que había estado en segundo plano durante años, se puso en marcha en 1996, cuando Irán compró en secreto un conjunto de planos y componentes de centrífuga de Khan. En 2000, Irán comenzó a construir en Natanz con planes de construir una instalación que albergaría 50,000 centrifugadoras giratorias para enriquecer el gas de uranio. Ese mismo año, la AIVD pirateó el sistema de correo electrónico de una organización de defensa iraní clave en un esfuerzo por obtener más información sobre los planes nucleares de Irán, según las fuentes.
Las agencias de inteligencia israelíes y occidentales monitorearon en secreto el progreso en Natanz durante los próximos dos años, hasta agosto de 2002, cuando un grupo disidente iraní expuso públicamente el programa iraní en una conferencia de prensa en Washington, DC, utilizando la información proporcionada por las agencias de inteligencia. Los inspectores de la Agencia Internacional de Energía Atómica, el organismo de las Naciones Unidas que monitorea los programas nucleares en todo el mundo, exigieron acceso a Natanz y se alarmaron al descubrir que el programa iraní estaba mucho más avanzado de lo que se creía.
Se presionó a Irán para que aceptara detener toda actividad en Natanz, mientras que el OIEA buscó obtener más información sobre el programa nuclear, y la suspensión continuó durante todo 2004 y la mayor parte de 2005. Pero era solo cuestión de tiempo antes de que se reanudaran las operaciones en Natanz , y la CIA y el Mossad querían estar adentro cuando lo hicieron.
La solicitud de ayuda a los holandeses llegó a fines de 2004, cuando un enlace del Mossad que trabajaba en la Embajada de Israel en La Haya y un funcionario de la CIA con sede en la Embajada de los Estados Unidos se reunieron con un representante de la AIVD. Todavía no se habló de insertar un arma digital en los sistemas de control de Natanz; el objetivo en ese momento seguía siendo solo inteligencia.
Pero el momento no fue al azar. En 2003, la inteligencia británica y estadounidense había dado un gran golpe cuando interceptaron un barco que contenía miles de componentes de centrífuga con destino a Libia, componentes para el mismo modelo de centrifugadoras utilizado en Natanz. El envío proporcionó pruebas claras del programa nuclear ilícito de Libia. Se persuadió a Libia para que abandonara el programa a cambio del levantamiento de las sanciones, y también acordó renunciar a cualquier componente ya recibido.
En marzo de 2004, Estados Unidos, bajo protesta de los holandeses, había incautado los componentes del barco y los que ya estaban en Libia y los había llevado al Laboratorio Nacional Oak Ridge en Tennessee y a una instalación en Israel. En los próximos meses, los científicos ensamblaron las centrífugas y las estudiaron para determinar cuánto tiempo le tomaría a Irán enriquecer suficiente gas para fabricar una bomba. De esto surgió el complot para sabotear las centrifugadoras.
La agencia de inteligencia holandesa ya tenía una información privilegiada en Irán, y después de la solicitud de la CIA y el Mossad, el topo decidió establecer dos vías paralelas, cada una con una compañía local de de derechasda, con la esperanza de que uno lograra ingresar a Natanz. .
Establecer una empresa ficticia con empleados, clientes y registros que muestren un historial de actividad, lleva tiempo y el tiempo escasea. A fines de 2005, Irán anunció que se retiraría del acuerdo de suspensión, y en febrero de 2006 comenzó a enriquecer su primer lote de gas hexaflourido de uranio en una planta piloto en Natanz. Sin embargo, los iraníes tuvieron algunos problemas que los ralentizaron, y no fue sino hasta febrero de 2007 que lanzaron formalmente el programa de enriquecimiento instalando las primeras centrífugas en las salas principales de Natanz.
Para entonces, el desarrollo del código de ataque ya estaba en marcha. En 2006, se realizó una prueba de sabotaje con centrifugadoras y se presentó al presidente George Bush, quien autorizó la operación encubierta una vez que se le mostró que realmente podía tener éxito.
Para mayo de 2007, Irán tenía 1.700 centrifugadoras instaladas en Natanz que enriquecían el gas, con planes de duplicar esa cantidad para el verano. Pero en algún momento antes del verano de 2007, el topo holandés estaba dentro de Natanz.
La primera compañía que estableció el topo no había logrado ingresar a Natanz: había un problema con la forma en que se creó la compañía, según dos de las fuentes, y "los iraníes ya sospechaban", explicó uno.
La segunda compañía, sin embargo, recibió asistencia de Israel. Esta vez, el topo holandés, que era un ingeniero entrenado, logró ingresar a Natanz haciéndose pasar por mecánico. Su trabajo no implicó la instalación de las centrifugadoras, pero lo llevó a donde necesitaba estar para recopilar información de configuración sobre los sistemas allí. Al parecer, regresó a Natanz varias veces en el tras*curso de algunos meses.
"[Él] tuvo que obtener ... varias veces para recopilar información esencial [que podría usarse para] actualizar el bichito en consecuencia", dijo una de las fuentes a Yahoo News.
Las fuentes no proporcionaron detalles sobre la información que recopiló, pero Stuxnet estaba destinado a ser un ataque de precisión que solo desataría su sabotaje si encontraba una configuración muy específica de los equipos y las condiciones de la red. Usando la información que proporcionó el topo, los atacantes pudieron actualizar el código y proporcionar algo de esa precisión.
De hecho, hay evidencia de actualizaciones al código que ocurren durante este período. Según la firma de seguridad Symantec, que realizó ingeniería inversa de Stuxnet después de ser descubierto, los atacantes actualizaron el código en mayo de 2006 y nuevamente en febrero de 2007, justo cuando Irán comenzó a instalar las centrífugas en Natanz. Pero hicieron cambios finales al código el 24 de septiembre de 2007, modificaron las funciones clave que se necesitaban para llevar a cabo el ataque y compilaron el código en esa fecha. Compilar código es la etapa final antes de lanzarlo.
El código fue diseñado para cerrar las válvulas de salida en números aleatorios de centrifugadoras para que el gas entrara en ellas pero no pudiera salir. Esto tenía la intención de aumentar la presión dentro de las centrífugas y causar daños con el tiempo y también gas residual.
Esta versión de Stuxnet tenía solo una forma de propagarse: a través de una unidad flash USB. Los sistemas de control de Siemens en Natanz estaban vacíos, lo que significa que no estaban conectados a Internet, por lo que los atacantes tuvieron que encontrar una manera de saltar esa brecha para infectarlos. Los ingenieros de Natanz programaron los sistemas de control con el código cargado en las unidades flash USB, por lo que el topo instaló directamente el código él mismo insertando un USB en los sistemas de control o infectó el sistema de un ingeniero, que luego entregó involuntariamente Stuxnet cuando programó el sistemas de control con una memoria USB.
Una vez que se logró eso, el topo no regresó a Natanz nuevamente, pero el malware logró su sabotaje durante 2008. En 2009, los atacantes decidieron cambiar de táctica y lanzaron una nueva versión del código en junio de ese año y nuevamente en marzo y abril. 2010. Esta versión, en lugar de cerrar las válvulas en las centrifugadoras, varió la velocidad a la cual las centrifugadoras giraron, alternativamente acelerándolas hasta un nivel más allá del cual fueron diseñadas para girar y desacelerarlas. El objetivo era dañar las centrifugadoras y socavar la eficiencia del proceso de enriquecimiento. Notablemente, los atacantes también actualizaron y compilaron esta versión del código de ataque el 24 de septiembre de 2007, cuando compilaron el código para la primera versión, lo que sugiere que la inteligencia que el topo holandés había proporcionado en 2007 puede haber contribuido a esta versión. también.
Sin embargo, cuando se lanzó esta última versión del código, los atacantes habían perdido el acceso interno a Natanz que habían disfrutado a través del topo, o tal vez simplemente ya no lo necesitaban. Consiguieron esta versión de Stuxnet en Natanz al infectar a objetivos externos que la trajeron a la planta. Los objetivos eran empleados de cinco compañías iraníes, todas ellas contratistas en el negocio de instalar sistemas de control industrial en Natanz y otras instalaciones en Irán, que se convirtieron en correos involuntarios para el arma digital.
"Es sorprendente que sigamos obteniendo información sobre el proceso de desarrollo de Stuxnet [10 años después de su descubrimiento]", dijo Liam O'Murchu, director de desarrollo de la división de Tecnología de Seguridad y Respuesta en Symantec. O'Murchu fue uno de los tres investigadores de la compañía que revirtió el código después de que se descubrió. “Es interesante ver que tenían la misma estrategia para [la primera versión de Stuxnet] pero que era un proceso más manual. ... Necesitaban tener a alguien en el terreno cuya vida estuviera en riesgo cuando realizaban esta operación ".
O'Murchu cree que el cambio de tácticas para la versión posterior de Stuxnet puede ser una señal de que las capacidades de los atacantes mejoraron para que ya no necesitaran un topo interno.
"Quizás ... en 2004 no tenían la capacidad de hacer esto de manera automatizada sin tener a alguien en el terreno", dijo. "Mientras que cinco años después pudieron llevar a cabo todo el ataque sin tener un activo en el terreno y poner a alguien en riesgo".
Pero su táctica posterior tuvo un inconveniente diferente. Los atacantes agregaron múltiples mecanismos de difusión a esta versión del código para aumentar la probabilidad de que llegue a los sistemas objetivo dentro de Natanz. Esto causó que Stuxnet se extendiera sin control, primero a otros clientes de los cinco contratistas, y luego a miles de otras máquinas en todo el mundo, lo que llevó al descubrimiento de Stuxnet y la exposición pública en junio de 2010.
Meses después del descubrimiento de Stuxnet, un sitio web en Israel indicó que Irán había arrestado y posiblemente ejecutado a varios trabajadores en Natanz bajo la creencia de que ayudaron a introducir el malware en los sistemas de la planta. Dos de las fuentes de inteligencia que hablaron con Yahoo News indicaron que efectivamente hubo pérdida de vidas por el programa Stuxnet, pero no dijeron si esto incluía el topo holandés.
Si bien Stuxnet no retrasó significativamente el programa iraní, debido a su descubrimiento prematuro, ayudó a ganar tiempo para la diplomacia y las sanciones para llevar a Irán a la mesa de negociaciones. Stuxnet también cambió la naturaleza de la guerra y lanzó una carrera armamentista digital. Condujo a otros países, incluido Irán, a ver el valor del uso de operaciones cibernéticas ofensivas para lograr objetivos políticos, una consecuencia con la que Estados Unidos ha estado lidiando desde entonces.
El general Michael Hayden, ex jefe de la CIA y la NSA, reconoció su naturaleza innovadora cuando comparó la operación Stuxnet con las bombas atómicas lanzadas sobre Hiroshima y Nagasaki.
"No quiero fingir que es el mismo efecto", dijo, "pero en un sentido al menos, es agosto de 1945".
Kim Zetter es periodista y autora de Countdown to Zero Day: Stuxnet y el lanzamiento del primer arma digital del mundo . Huib Modderkolk es un periodista del periódico holandés De Volkskrant que reveló la historia el año pasado del hackeo de Cozy Bear de la AIVD; él es también el autor de Het es oorlog: maar niemand die het ziet (La guerra invisible), que se publicará esta semana en los Países Bajos.
Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran
Durante años, un misterio duradero ha rodeado el ataque del bichito Stuxnet que tuvo como objetivo el programa nuclear de Irán: ¿cómo los EE. UU. E Israel introdujeron su malware en los sistemas informáticos de la planta de enriquecimiento de uranio altamente segura?
El primer bichito de este tipo, diseñado para sabotear el programa nuclear de Irán, lanzó efectivamente la era de la guerra digital y se desató en algún momento en 2007, después de que Irán comenzó a instalar su primer lote de centrifugadoras en una controvertida planta de enriquecimiento cerca de la aldea de Natanz
El mensajero detrás de esa intrusión, cuya existencia y función no han sido reportadas previamente, fue un topo interno reclutado por agentes de inteligencia holandeses a instancias de la CIA y la agencia de inteligencia israelí, el Mossad, según fuentes que hablaron con Yahoo News.
Un ingeniero iraní reclutado por la agencia de inteligencia holandesa AIVD proporcionó datos críticos que ayudaron a los desarrolladores estadounidenses a dirigir su código a los sistemas de Natanz, según cuatro fuentes de inteligencia. Ese topo luego proporcionó el acceso interno muy necesario cuando llegó el momento de deslizar Stuxnet en esos sistemas utilizando una unidad flash USB.
En 2004, se pidió a los holandeses que ayudaran a la CIA y al Mossad a acceder a la planta, pero no fue hasta tres años después que el topo, que se hizo pasar por un mecánico que trabajaba para una empresa de de derechasda que trabajaba en Natanz, entregó el arma digital. a los sistemas específicos. "[El] lunar holandés fue la forma más importante de introducir el bichito en Natanz", dijo una de las fuentes a Yahoo.
Ni la CIA ni el Mossad respondieron a las preguntas de Yahoo News sobre la información. La AIVD declinó hacer comentarios sobre su participación en la operación.
La ahora famosa operación encubierta conocida como "Juegos Olímpicos" fue diseñada no para destruir el programa nuclear de Irán directamente sino para retrasarlo por un tiempo para ganar tiempo para que las sanciones y la diplomacia surtan efecto. Esa estrategia fue exitosa en ayudar a traer a Irán a la mesa de negociaciones, y finalmente resultó en un acuerdo con el país en 2015.
La revelación de la participación holandesa se remonta a una época en que todavía había una amplia cooperación y un fuerte acuerdo multilateral entre los EE. UU. Y sus aliados sobre cómo lidiar con el programa nuclear iraní, una situación que cambió el año pasado después de que la administración Trump se retiró El acuerdo nuclear que tanto se ganó con Teherán.
Ver fotos
Más
La operación de los Juegos Olímpicos fue principalmente una misión conjunta de Estados Unidos e Israel que involucró a la NSA, la CIA, el Mossad, el Ministerio de Defensa de Israel y la Unidad Nacional Israelí SIGINT, el equivalente israelí de la NSA. Pero los EE. UU. E Israel contaron con la asistencia de otras tres naciones, según las fuentes, de ahí el nombre en clave encubierto que dio un guiño al símbolo de cinco anillos del evento deportivo internacional más famoso del mundo. Dos de los tres jugadores participantes fueron Holanda y Alemania. Se cree que el tercero es Francia, aunque la inteligencia del Reino Unido también jugó un papel.
Alemania aportó especificaciones técnicas y conocimientos sobre los sistemas de control industrial realizados por la firma alemana Siemens que se utilizaron en la planta iraní para controlar las centrifugadoras giratorias, según las fuentes. Se cree que Francia ha proporcionado inteligencia de un tipo similar.
Pero los holandeses estaban en una posición única para desempeñar un papel diferente: brindar inteligencia clave sobre las actividades de Irán para adquirir equipos de Europa para su programa nuclear ilícito, así como información sobre las centrifugadoras. Esto se debe a que las centrifugadoras en Natanz se basaron en diseños robados a una empresa holandesa en la década de 1970 por el científico pakistaní Abdul Qadeer Khan. Khan robó los diseños para construir el programa nuclear de Pakistán, luego procedió a comercializarlos a otros países, incluidos Irán y Libia.
La agencia de inteligencia holandesa, conocida como AIVD, junto con la inteligencia de EE. UU. Y Gran Bretaña, se infiltró en la red de suministro de consultores europeos y compañías líderes de Khan que ayudaron a construir los programas nucleares en Irán y Libia. Esa infiltración no solo involucró el comercio de la vieja escuela, sino que también empleó operaciones de piratería ofensivas que se desarrollaron como parte del campo floreciente del espionaje digital.
Las capacidades cibernéticas de AIVD son bien conocidas ahora: el año pasado se reveló que AIVD fue responsable de informar al FBI sobre el hackeo del Comité Nacional Demócrata en 2016, conocimiento que había adquirido porque sus operativos habían pirateado computadoras pertenecientes al grupo de piratería ruso conocido como Cozy Bear en 2014 y estaban viendo en 2015 cuando los rusos irrumpieron en las computadoras del Departamento de Estado de los EE. UU. y el DNC.
Pero durante los primeros días del programa nuclear de Irán, el equipo de piratería de AIVD era pequeño y todavía estaba en desarrollo.
El programa iraní, que había estado en segundo plano durante años, se puso en marcha en 1996, cuando Irán compró en secreto un conjunto de planos y componentes de centrífuga de Khan. En 2000, Irán comenzó a construir en Natanz con planes de construir una instalación que albergaría 50,000 centrifugadoras giratorias para enriquecer el gas de uranio. Ese mismo año, la AIVD pirateó el sistema de correo electrónico de una organización de defensa iraní clave en un esfuerzo por obtener más información sobre los planes nucleares de Irán, según las fuentes.
Las agencias de inteligencia israelíes y occidentales monitorearon en secreto el progreso en Natanz durante los próximos dos años, hasta agosto de 2002, cuando un grupo disidente iraní expuso públicamente el programa iraní en una conferencia de prensa en Washington, DC, utilizando la información proporcionada por las agencias de inteligencia. Los inspectores de la Agencia Internacional de Energía Atómica, el organismo de las Naciones Unidas que monitorea los programas nucleares en todo el mundo, exigieron acceso a Natanz y se alarmaron al descubrir que el programa iraní estaba mucho más avanzado de lo que se creía.
Se presionó a Irán para que aceptara detener toda actividad en Natanz, mientras que el OIEA buscó obtener más información sobre el programa nuclear, y la suspensión continuó durante todo 2004 y la mayor parte de 2005. Pero era solo cuestión de tiempo antes de que se reanudaran las operaciones en Natanz , y la CIA y el Mossad querían estar adentro cuando lo hicieron.
La solicitud de ayuda a los holandeses llegó a fines de 2004, cuando un enlace del Mossad que trabajaba en la Embajada de Israel en La Haya y un funcionario de la CIA con sede en la Embajada de los Estados Unidos se reunieron con un representante de la AIVD. Todavía no se habló de insertar un arma digital en los sistemas de control de Natanz; el objetivo en ese momento seguía siendo solo inteligencia.
Pero el momento no fue al azar. En 2003, la inteligencia británica y estadounidense había dado un gran golpe cuando interceptaron un barco que contenía miles de componentes de centrífuga con destino a Libia, componentes para el mismo modelo de centrifugadoras utilizado en Natanz. El envío proporcionó pruebas claras del programa nuclear ilícito de Libia. Se persuadió a Libia para que abandonara el programa a cambio del levantamiento de las sanciones, y también acordó renunciar a cualquier componente ya recibido.
En marzo de 2004, Estados Unidos, bajo protesta de los holandeses, había incautado los componentes del barco y los que ya estaban en Libia y los había llevado al Laboratorio Nacional Oak Ridge en Tennessee y a una instalación en Israel. En los próximos meses, los científicos ensamblaron las centrífugas y las estudiaron para determinar cuánto tiempo le tomaría a Irán enriquecer suficiente gas para fabricar una bomba. De esto surgió el complot para sabotear las centrifugadoras.
La agencia de inteligencia holandesa ya tenía una información privilegiada en Irán, y después de la solicitud de la CIA y el Mossad, el topo decidió establecer dos vías paralelas, cada una con una compañía local de de derechasda, con la esperanza de que uno lograra ingresar a Natanz. .
Establecer una empresa ficticia con empleados, clientes y registros que muestren un historial de actividad, lleva tiempo y el tiempo escasea. A fines de 2005, Irán anunció que se retiraría del acuerdo de suspensión, y en febrero de 2006 comenzó a enriquecer su primer lote de gas hexaflourido de uranio en una planta piloto en Natanz. Sin embargo, los iraníes tuvieron algunos problemas que los ralentizaron, y no fue sino hasta febrero de 2007 que lanzaron formalmente el programa de enriquecimiento instalando las primeras centrífugas en las salas principales de Natanz.
Para entonces, el desarrollo del código de ataque ya estaba en marcha. En 2006, se realizó una prueba de sabotaje con centrifugadoras y se presentó al presidente George Bush, quien autorizó la operación encubierta una vez que se le mostró que realmente podía tener éxito.
Para mayo de 2007, Irán tenía 1.700 centrifugadoras instaladas en Natanz que enriquecían el gas, con planes de duplicar esa cantidad para el verano. Pero en algún momento antes del verano de 2007, el topo holandés estaba dentro de Natanz.
La primera compañía que estableció el topo no había logrado ingresar a Natanz: había un problema con la forma en que se creó la compañía, según dos de las fuentes, y "los iraníes ya sospechaban", explicó uno.
La segunda compañía, sin embargo, recibió asistencia de Israel. Esta vez, el topo holandés, que era un ingeniero entrenado, logró ingresar a Natanz haciéndose pasar por mecánico. Su trabajo no implicó la instalación de las centrifugadoras, pero lo llevó a donde necesitaba estar para recopilar información de configuración sobre los sistemas allí. Al parecer, regresó a Natanz varias veces en el tras*curso de algunos meses.
"[Él] tuvo que obtener ... varias veces para recopilar información esencial [que podría usarse para] actualizar el bichito en consecuencia", dijo una de las fuentes a Yahoo News.
Las fuentes no proporcionaron detalles sobre la información que recopiló, pero Stuxnet estaba destinado a ser un ataque de precisión que solo desataría su sabotaje si encontraba una configuración muy específica de los equipos y las condiciones de la red. Usando la información que proporcionó el topo, los atacantes pudieron actualizar el código y proporcionar algo de esa precisión.
De hecho, hay evidencia de actualizaciones al código que ocurren durante este período. Según la firma de seguridad Symantec, que realizó ingeniería inversa de Stuxnet después de ser descubierto, los atacantes actualizaron el código en mayo de 2006 y nuevamente en febrero de 2007, justo cuando Irán comenzó a instalar las centrífugas en Natanz. Pero hicieron cambios finales al código el 24 de septiembre de 2007, modificaron las funciones clave que se necesitaban para llevar a cabo el ataque y compilaron el código en esa fecha. Compilar código es la etapa final antes de lanzarlo.
El código fue diseñado para cerrar las válvulas de salida en números aleatorios de centrifugadoras para que el gas entrara en ellas pero no pudiera salir. Esto tenía la intención de aumentar la presión dentro de las centrífugas y causar daños con el tiempo y también gas residual.
Esta versión de Stuxnet tenía solo una forma de propagarse: a través de una unidad flash USB. Los sistemas de control de Siemens en Natanz estaban vacíos, lo que significa que no estaban conectados a Internet, por lo que los atacantes tuvieron que encontrar una manera de saltar esa brecha para infectarlos. Los ingenieros de Natanz programaron los sistemas de control con el código cargado en las unidades flash USB, por lo que el topo instaló directamente el código él mismo insertando un USB en los sistemas de control o infectó el sistema de un ingeniero, que luego entregó involuntariamente Stuxnet cuando programó el sistemas de control con una memoria USB.
Una vez que se logró eso, el topo no regresó a Natanz nuevamente, pero el malware logró su sabotaje durante 2008. En 2009, los atacantes decidieron cambiar de táctica y lanzaron una nueva versión del código en junio de ese año y nuevamente en marzo y abril. 2010. Esta versión, en lugar de cerrar las válvulas en las centrifugadoras, varió la velocidad a la cual las centrifugadoras giraron, alternativamente acelerándolas hasta un nivel más allá del cual fueron diseñadas para girar y desacelerarlas. El objetivo era dañar las centrifugadoras y socavar la eficiencia del proceso de enriquecimiento. Notablemente, los atacantes también actualizaron y compilaron esta versión del código de ataque el 24 de septiembre de 2007, cuando compilaron el código para la primera versión, lo que sugiere que la inteligencia que el topo holandés había proporcionado en 2007 puede haber contribuido a esta versión. también.
Sin embargo, cuando se lanzó esta última versión del código, los atacantes habían perdido el acceso interno a Natanz que habían disfrutado a través del topo, o tal vez simplemente ya no lo necesitaban. Consiguieron esta versión de Stuxnet en Natanz al infectar a objetivos externos que la trajeron a la planta. Los objetivos eran empleados de cinco compañías iraníes, todas ellas contratistas en el negocio de instalar sistemas de control industrial en Natanz y otras instalaciones en Irán, que se convirtieron en correos involuntarios para el arma digital.
"Es sorprendente que sigamos obteniendo información sobre el proceso de desarrollo de Stuxnet [10 años después de su descubrimiento]", dijo Liam O'Murchu, director de desarrollo de la división de Tecnología de Seguridad y Respuesta en Symantec. O'Murchu fue uno de los tres investigadores de la compañía que revirtió el código después de que se descubrió. “Es interesante ver que tenían la misma estrategia para [la primera versión de Stuxnet] pero que era un proceso más manual. ... Necesitaban tener a alguien en el terreno cuya vida estuviera en riesgo cuando realizaban esta operación ".
O'Murchu cree que el cambio de tácticas para la versión posterior de Stuxnet puede ser una señal de que las capacidades de los atacantes mejoraron para que ya no necesitaran un topo interno.
"Quizás ... en 2004 no tenían la capacidad de hacer esto de manera automatizada sin tener a alguien en el terreno", dijo. "Mientras que cinco años después pudieron llevar a cabo todo el ataque sin tener un activo en el terreno y poner a alguien en riesgo".
Pero su táctica posterior tuvo un inconveniente diferente. Los atacantes agregaron múltiples mecanismos de difusión a esta versión del código para aumentar la probabilidad de que llegue a los sistemas objetivo dentro de Natanz. Esto causó que Stuxnet se extendiera sin control, primero a otros clientes de los cinco contratistas, y luego a miles de otras máquinas en todo el mundo, lo que llevó al descubrimiento de Stuxnet y la exposición pública en junio de 2010.
Meses después del descubrimiento de Stuxnet, un sitio web en Israel indicó que Irán había arrestado y posiblemente ejecutado a varios trabajadores en Natanz bajo la creencia de que ayudaron a introducir el malware en los sistemas de la planta. Dos de las fuentes de inteligencia que hablaron con Yahoo News indicaron que efectivamente hubo pérdida de vidas por el programa Stuxnet, pero no dijeron si esto incluía el topo holandés.
Si bien Stuxnet no retrasó significativamente el programa iraní, debido a su descubrimiento prematuro, ayudó a ganar tiempo para la diplomacia y las sanciones para llevar a Irán a la mesa de negociaciones. Stuxnet también cambió la naturaleza de la guerra y lanzó una carrera armamentista digital. Condujo a otros países, incluido Irán, a ver el valor del uso de operaciones cibernéticas ofensivas para lograr objetivos políticos, una consecuencia con la que Estados Unidos ha estado lidiando desde entonces.
El general Michael Hayden, ex jefe de la CIA y la NSA, reconoció su naturaleza innovadora cuando comparó la operación Stuxnet con las bombas atómicas lanzadas sobre Hiroshima y Nagasaki.
"No quiero fingir que es el mismo efecto", dijo, "pero en un sentido al menos, es agosto de 1945".
Kim Zetter es periodista y autora de Countdown to Zero Day: Stuxnet y el lanzamiento del primer arma digital del mundo . Huib Modderkolk es un periodista del periódico holandés De Volkskrant que reveló la historia el año pasado del hackeo de Cozy Bear de la AIVD; él es también el autor de Het es oorlog: maar niemand die het ziet (La guerra invisible), que se publicará esta semana en los Países Bajos.
