Stuxnet: il virus informatico che fa paura ai governi

indipendeceday

Nel film Independence Day, Will Smith riusciva a mettere in crisi il sistema informatico dell'astronave aliena grazie ad un virus. Un film di fantascienza che puntava molto allo spettacolo e poco alla realtà, come è giusto che sia. A quattordici anni di distanza dall'uscita del film molti organi di informazione hanno parlato di una situazione analoga: il virus Stuxnet, nato per mettere in crisi le centrali nucleari iraniane. Come spesso accade, le notizie si mescolano alle voci, ed il passaparola diventa qualcosa di informe dal quale si fa fatica a distinguere la realtà dalla bufala. In questo post, magari anche grazie al vostro aiuto, cerchiamo di fare un po' di chiarezza sulla vicenda.

La base di partenza, a mio parere, va posta su quanto accaduto negli scorsi mesi. I sintomi di un qualcosa che bolle in pentola, lo abbiamo avuto con i primi massicci attacchi informatici. Non stiamo parlando delle "solite" botnet che nascono e prosperano grazie al phishing, ma di qualcosa di più "mirato". Ne avevamo parlato in Febbraio, con la storia degli studenti cinesi considerati autori di un importante attacco, e dei rapporti che una delle due università coinvolte ha con aziende americane. Qualche mese prima, proprio a causa di attacchi cinesi, il Regno Unito affermava di poter contrattaccare, sempre a livello informatico.

Con un alone di mistero arriva quindi il virus Stuxnet. Secondo Security Watch di PcMag, l'allarme sarebbe stato lanciato da VirusBlokAda, società bielorussa che ha ben 29 (!) followers su Twitter. Senza nulla togliere alle capacità degli informatici bielorussi, il fatto sembra di per sé curioso. Il comunicato originale è del 17 Giugno. Non è invece certa la data di inizio dell'attacco, anche se diverse fonti fanno notare un particolare incidente nucleare avvenuto in Iran e riportato da Wikileaks. Tornando a Stuxnet, le prime indagini serie risalgono alle fine di Luglio, con un post articolato sul blog di Symantec. Potete vedere tutta la cronistoria dello studio di questo malware sulla pagina dedicata a Stuxnet. Quello che salta all'occhio è la caratteristica principale:

The primary purpose of the Stuxnet worm is to take control of industrial facilities. Interestingly, one would expect the malware authors to design malware that would target only computers running the software that controls these facilities.

Secondo Symantec gli autori hanno scritto il malware in modo che il target siano computer sui cui gira software di controllo di impianti industriali. Attenzione: i pc infettabili sono praticamente tutti i sistemi windows ma questo non significa che siano gli "obiettivi" del trojan. Prendiamo per buoni di dati Symantec e vediamo la distribuzione di Stuxnet nelle varie nazioni. Non possiamo dire di amare i "complottismi" ma nello stesso tempo non possiamo far altro che notare quanto contenuto nella tabella riportata qui sotto: la vicenda dell'attacco all'Iran è vera? E come potrebbe essere stata pianificata?

stuxnet-iran

Paolo Attivissimo è riuscito a sintetizzare in maniera precisa ed accurata come agisce Stuxnet, ammettendo che non può essere il semplice frutto del lavoro di qualche ragazzino.


Usa un metodo d'infezione nuovo e originale che non richiede l'interazione dell'utente: basta che venga visualizzata la sua icona su un sistema Windows non aggiornato. Sfrutta ben quattro vulnerabilità prima sconosciute. È un rootkit, capace non solo di rendersi invisibile a Windows, in modo classico, ma anche di sfruttare i programmi Windows usati per programmare i sistemi di controllo industriale (PLC) per iniettarsi in questi sistemi e rendersi invisibile anche lì. È, in altre parole, il primo rootkit per PLC, secondo Virus Bulletin.

Come se non bastasse, contiene inoltre 70 blocchi cifrati che rimpiazzano alcune funzioni fondamentali di questi sistemi, come il confronto di date e orari di file, ed è capace di personalizzare l'iniezione di questi blocchi in base al tipo di PLC che sta attaccando. Se la prende soltanto con una specifica configurazione di software presente nei sistemi di controllo realizzati dalla Siemens (che ha predisposto una pagina informativa apposita). I suoi autori hanno rubato le firme digitali segrete di due fabbricanti di chip taiwanesi per usarle in Stuxnet e farlo sembrare software certificato. Perché darsi tutta questa pena? E perché le statistiche d'infezione di Stuxnet sin da luglio scorso vedono al primo posto l'Iran, con quasi il 60% delle infezioni?

Esattamente ciò che ci stavamo domandando. La conferma della correttezza dei dati sulle infezioni arriva dall'Iran, che di solito non mette in piazza le proprie debolezze. Computerworld cita fonti iraniane: 30.000 pc infetti ma sopratutto l'interessamento da parte degli esperti dell'Organizzazione per l'Energia Atomica dell'Iran. Proprio la riunione dell'OEA di questa settimana per pianificare la rimozione del malware, secondo il New York Times è la dimostrazione di quanto siano preoccupati gli iraniani.

Chi è l'autore o chi ha commissionato il malware? Al Pentagono bocce cucite. Sul LiveShots, blog di FoxNews, il portavoce del Dipartimento della Difesa americana "non conferma ne smentisce" che dietro a Stuxnet ci siano gli Stati Uniti. Il già citato Security Watch mette la classica pulce nell'orecchio: potrebbe esserci lo zampino degli israeliani? L'autore dell'articolo auto-bolla il tutto come una "intrigante speculazione", anche se la questione è stata ripresa un po' da tutti. Non c'è alcun dato in merito e sopratutto non c'è nessuna fonte che ad oggi ha preso posizione in merito. Siamo riusciti a trovare unicamente un video di Bloomberg Tv in cui Richard Falkenrath, ex consigliere per la sicurezza nell'amministrazione Bush e contributing editor di Bloomberg, afferma due cose. Primo che le conoscenze messe in campo dagli autori implicano l'utilizzo di risorse/conoscenze che solo una nazione può fornire, secondo che per gli Stati Uniti un'operazione simile sarebbe troppo rischiosa, con un possibile e preoccupante effetto "boomerang" sui propri impianti industriali. L'origine di Stuxnet potrebbe allora essere ricercata in Israele.

Nel momento in cui scriviamo non c'è ancora nulla di certo se non una dilagante preoccupazione internazionale e la necessità immediata di una revisione dei sistemi di sicurezza informatici di impianti industriali sensibili. Vedremo l'evoluzione della vicenda nelle prossime settimane.

  • shares
  • Mail
8 commenti Aggiorna
Ordina: