Em meados de 2010 uma nova geração de ameaças cibernéticas – antes somente teorizadas por experts em segurança de sistemas – desencadeou um ataque a uma planta nuclear no Irã. Instalações em outros países como Indonésia, EUA, Austrália, Inglaterra, Malásia e Paquistão também foram atacados.
Antes do advento do Stuxnet, a grande maioria dos ataques cibernéticos eram focados em fazer algum tipo de dano a sistemas financeiros, computadores pessoais e também a roubar informações pessoais de seus usuários. Agora, temos o primeiro caso relatado de ataque a computadores industriais – os chamados CLPs (Controlador Lógico Programável), que também são computadores, mas altamente especializados para controle de infraestrutura industrial como atuadores e sensores industriais. Os CLPs são responsáveis por todo o controle de máquinas e equipamentos em uma planta e estão presentes desde pequenas fábricas até enormes complexos industriais nucleares. Motores, bombas hidráulicas, medidores de temperatura e pressão, atuadores pneumáticos, válvulas, são equipamentos típicos controlados ou supervisionados por CLPs. Os CLPs rodam um sistema operacional próprio chamado SCADA (Supervisory Control and Data Aquisition) e não dependem diretamente de sistemas operacionais de PC (como o Windows, Mac ou Linux), a não ser para uma tarefa específica: o desenvolvimento das rotinas em SCADA são desenhadas em sistemas operacionais como o Windows e então é feito o upload destas rotinas para o CLP. Foi aí que o Stuxnet provavelmente atuou, fazendo um “filtro”, carregando no CLP códigos mal-intencionados.
Existem diversos fornecedores de CLPs, como a Siemens, Rockwell, GE Fanuc, entre outros. O Stuxnet foi desenhado para atacar especificamente equipamentos CLPs da Siemens, mas o mesmo conceito pode ser utilizado para outros fornecedores, dado que todos utilizam a mesma tecnologia nos CLPs. O que mais impressiona no ataque à usina de Natanz no Irã, foi que a usina não possui nenhum computador conetado à Internet. Portanto, a infecção deve ter ocorrido pela introdução de algum dispositivo físico, como um pen-drive ou um CD-ROM infectado.
O que mais impressiona sobre o Stuxnet é a sua capacidade de interagir com equipamentos industriais. A primeira interação do worm foi fazer com que as centrífugas iranianas – equipamentos utilizados no enriquecimento de urânio – começassem a girar 40% mais rápido por quinze minutos, o que causava rachaduras nas centrífugas de alumínio, literamente destruindo os equipamentos sem que os funcionários se dessem conta disso. É fácil imaginar o que um ataque bem coordenado poderia fazer com outros equipamentos desta planta, até o limite de um vazamento nuclear ou atingimento de temperatura crítica em um reator nuclear sem que alarmes fossem disparados, válvulas fossem acionadas e que os técnicos pudessem agir.
Há muita especulação sobre a origem do Stuxnet. Fala-se sobre a criação deste worm pelas Forças Armadas de Israel, que teriam um “campo de provas” no deserto de Negev onde funcionam centrífugas nucleares virtualmente idênticas às localizadas no Irã. A Symantec e Kaspersky, concluiram que o desenvolvimento do Stuxnet não poderia ter sido feito por usuários domésticos, mas somente pelo governo de algum país. Esses eventos podem ser considerados como o início da primeira ciberguerra em escala global, o que deve ser visto não só por agências governamentais, mas por todos os profissionais responsáveis por sistemas críticos.
As afirmações da Symantec e Kaspersky, quanto o desenvolvimento do Stuxnet que não poderia ter sido feito por usuários comuns é logico, pois somente pelo governo de algum país isso seria possivél.