Nova Deli:
Estamos em junho de 2009. As ruas de Teerã explodiram em protestos contra os resultados de uma eleição presidencial. O atual Mahmoud Ahmadinejad saiu vitorioso com uma maioria esmagadora contra Mir-Hossein Mousavi. Os manifestantes alegaram uma vitória fraudulenta. Entre eles está uma mulher chamada Neda Agha-Soltan, que no seu caminho para se juntar aos principais protestos, estacionou o seu carro a alguma distância do ajuntamento e saiu porque o ar condicionado do veículo não estava a funcionar. Enquanto ela respirava o ar fresco, um atirador pertencente a uma milícia financiada pelo governo mirou e atirou em seu peito. Ela estava morta.
Enquanto isto se desenrolava em Teerão, cerca de 300 quilómetros a sul, na instalação nuclear de Natanz, o coração do programa nuclear iraniano – coisas “estranhas” aconteciam. Poucos dias após a morte de Neda, a CIA teria recebido aprovação para iniciar uma operação cibernética contra esta instalação. A operação envolveu o upload de um malware sofisticado, conhecido como Stuxnetdiretamente no hardware iraniano. Este malware estava em desenvolvimento há anos, num esforço colaborativo entre os Estados Unidos e Israel, e representava a primeira arma digital do mundo.
Stuxnet: A Gênese
O Stuxnet não era uma presença nova na infra-estrutura nuclear do Irão; vinha causando interrupções há anos. No entanto, esta nova versão foi concebida para desferir um golpe decisivo.
A história do desenvolvimento e implantação do Stuxnet começou anos antes. O início do Stuxnet remonta ao início dos anos 2000, durante um período de elevada tensão entre o Irão e as nações ocidentais sobre as ambições nucleares do Irão. A administração Bush, preocupada com o potencial do Irão para desenvolver armas nucleares, procurou métodos não convencionais para impedir o progresso de Teerão. Assim nasceu a operação secreta com o codinome “Jogos Olímpicos”. Esta iniciativa, envolvendo uma estreita colaboração entre a CIA, a NSA e a Mossad de Israel, visava criar uma arma digital capaz de perturbar fisicamente as capacidades de enriquecimento nuclear do Irão.
O Stuxnet não era um malware comum. Seu design refletia um nível de sofisticação sem precedentes no domínio das armas cibernéticas. O malware tinha como alvo o software Siemens Step7, usado para controlar equipamentos industriais, concentrando-se especificamente nas centrífugas da instalação de enriquecimento de urânio de Natanz, no Irã. Essas centrífugas, essenciais para o enriquecimento de urânio, operavam em altas velocidades e exigiam um controle preciso para funcionar corretamente.
Stuxnet: a execução
Os EUA construíram uma réplica da instalação nuclear do Irão no seu Instalação de Oak Ridge no estado do Tennessee, onde estudaram meticulosamente as centrífugas para entender como sabotá-las sem serem detectadas. Em 2007, foi lançada a primeira versão do Stuxnet, visando essas centrífugas, evitando a liberação de pressão através das válvulas, fazendo com que o gás urânio se solidificasse e as centrífugas girassem fora de controle e, por fim, se autodestruíssem.
A instalação nuclear do Irão estava isolada, o que significa que a sua rede estava offline, pelo que o Stuxnet teve de ser introduzido através de um agente interno usando uma unidade USB. O malware operou sem ser detectado, usando um rootkit para ocultar sua presença e certificados digitais roubados para aparecerem como comandos legítimos. Apesar da sua eficácia, as versões iniciais do Stuxnet apenas retardaram o progresso do Irão e não o sabotaram totalmente.
Em resposta, investigadores norte-americanos desenvolveram uma versão mais agressiva do Stuxnet, utilizando quatro explorações de dia zero e chaves privadas roubadas para assinar os seus comandos. Esta versão poderia espalhar-se rapidamente, mesmo através de redes isoladas, e reprogramar as centrífugas para se autodestruírem, ao mesmo tempo que mascarava a sabotagem como avarias de hardware.
Stuxnet: as implicações
Um membro da Natanz apresentou esta nova versão do Stuxnet, que rapidamente se espalhou pela rede da instalação. No entanto, a sua natureza agressiva levou a consequências não intencionais: o malware espalhou-se para além de Natanz, infectando computadores em todo o Irão e, eventualmente, em todo o mundo. A CIA, percebendo a propagação incontrolável do Stuxnet, decidiu continuar com a operação, esperando que esta permanecesse sem ser detectada dentro de Natanz.
Suas esperanças foram frustradas quando a empresa de segurança cibernética Symantec descobriu o Stuxnet e publicou um relatório detalhado sobre o malware. O Irão rapidamente percebeu a extensão do ataque cibernético e tomou medidas para proteger o seu programa nuclear. Apesar dos reveses causados pelo Stuxnet, o Irão prometeu continuar as suas ambições nucleares.
Um dos primeiros indícios da existência do Stuxnet surgiu em junho de 2010, quando uma empresa bielorrussa de segurança cibernética descobriu um malware incomum em um computador iraniano. À medida que especialistas em segurança cibernética de todo o mundo começaram a analisar o código, ficaram impressionados com a sua complexidade e finalidade.
Impacto no programa nuclear do Irã
O impacto do Stuxnet no programa nuclear do Irão foi significativo, mas não imediatamente catastrófico. Em 2009, o Irão tinha instalado mais de 7.000 centrífugas em Natanz, mas o Stuxnet causou a falha de aproximadamente 1.000 delas. As perturbações forçaram o Irão a suspender temporariamente as suas actividades de enriquecimento e a substituir o equipamento danificado, atrasando as suas ambições nucleares de vários meses a anos.
O governo iraniano, inicialmente alheio à causa das falhas da centrífuga, acabou por reconhecer a intrusão cibernética. Publicamente, o Irão minimizou o impacto do Stuxnet, mas internamente estimulou investimentos significativos em medidas de segurança cibernética e no desenvolvimento de capacidades cibernéticas ofensivas.
Nos anos seguintes, os assassinatos selectivos de importantes cientistas nucleares iranianos prejudicaram ainda mais o seu programa. Carros-bomba e outros ataques eliminaram muitos dos líderes envolvidos, incluindo o diretor das instalações de Natanz.
Stuxnet: precipitação global
O Stuxnet não se limitou ao Irão. Propagou-se a outros países, incluindo a Índia, a Indonésia e o Paquistão, afectando sistemas industriais em todo o mundo. Na Índia, várias instalações de infra-estruturas críticas, supostamente infectando até 80.000 computadores. Várias centrais eléctricas e unidades fabris também foram consideradas vulneráveis a ataques semelhantes.
Em 2013, a Índia adotou o Política Nacional de Segurança Cibernética que teve como foco “a proteção da infraestrutura de informação e a preservação da confidencialidade, integridade e disponibilidade da informação no ciberespaço”. No ano seguinte, o Centro anunciou a formação do Centro Nacional de Proteção de Infraestrutura de Informações Críticas para proteger ainda mais o espaço de segurança cibernética da Índia.