Stuxnet e la Guerra Senza Limiti
Chi c’è dietro al worm Stuxnet? L’obiettivo di questo famigerato malware è quello di attacare gli impianti nucleari iraniani (come sembrerebbero confermare alcune notizie), o si tratta di una nuova sofisticata incarnazione del classico worm prodotto da una gang di cybercriminali?Non si sa, forse non si saprà mai. Quello che pare certo è che non si tratta dell’opera di uno o più dilettanti. Non si tratta insomma di mettere in crisi Twitter con un XSS, qui la situazione è più complessa.
Un worm anomaloLa storia inizia in Luglio, quando un ricercatore bielorusso identifica presso clienti iraniani la presenza di Stuxnet. Symantec non solo conferma l’esistenza del worm, ma si accorge che una versione semplificata del worm era già stata isolata un anno prima.
Fin qui niente di nuovo. Sembrerebbe la solita storia di un worm che sfruttando uno zero-day si propaga e organizza una botnet. Ma questa volta la storia è divera. A far suonare il campanello d’allarme è la scoperta che Stuxnet ha una predilezione per i sistemi di controllo industriale (SCADA), utilizzati dai sistemi informatici che controllano le infrastrutture critiche, come centrali elettriche, reti di distribuzione, centrali nucleari.
A rendere ancora più inquietante la situazione è l’analisi della distribuzione del worm. Se in genere queste infezioni si propagano più o meno in tutto il mondo, questo worm pare prediliga alcune nazioni orientali, tra cui India e Indonesia, e in paticolare l’Iran.
A questo punto sorgere un sospetto: non è che Stuxnet è stato creato da qualcuno, non particolarmente amico dell’Iran e del suo programma nucleare?
StuxnetEffettivamente pare che Stuxnet sia un malware con una marcia in più. Quali sono i punti di forza di questo womr?
* Per la prima volta un worm utilizza come vettore di infezione 4 zero-day. Si tratta sicuramente di un dato notevole; la ricerca di questo genere di vulnerabilità, e lo sviluppo dei codici per sfruttarle richiede una abilità tecnica non comune.
* Non solo tenta di esfiltrare codici e progetti dai computer infettati, ma tenta di accedere e di replicarsi nei PLC (Programmable Logic Controller), computer specializzati nella gestione di processi industriali.
* Utilizza due certificati legittimi firmati da noti produttori di hardware. Il worm risulta così essere firmato come software certificato (e quindi sicuro). I certificati potrebbero essere stati sottratti ai legittimi proprietari tramite un’intrusione informatica o fisica.
Questi elementi evidenziano il fatto che si tratti di un’operazione complessa, articolata, portata avanti con estrema professionalità.
Guerra Senza LimitiIl 26 Settembre Al-Jazeera pubblica la notizia bomba: “Iran Attacked by Computer Worm”. Qualche ora dopo è l’agenzia iraniana Irna a confermare la massiccia diffusione del worm in Iran, confermando anche la presenza del worm in computer privati utilizzati da tecnici del reattore nucleare di Busherh, ma è la stessa agenzia a precisare anche che nessun sistema critico ha subito danni, tantomeno il reattore nucleare.
Quindi Stuxnet è stato creato dal governo di una nazione ostile all’Iran? Non è detto. Da alcuni anni siamo entrati in una nuova fase della Storia, una fase in cui il monopolio della guerra non appartiene più agli Stati. Siamo nell’epoca della guerra asimmetrica, una guerra senza limiti, combattuta non solo tra nazioni, ma anche tra gruppi di potere, piccoli o grandi, frammenti di apparati in contrasto con altri frammenti dello stesso apparato. Gruppi privati, fondi speculativi, poteri occulti. Gruppi che utilizzano armi convenzionali, ma anche tecniche di guerra irregolare, come le information operations e la psychological warfare.
Forse non sapremo mai la verità su Stuxnet. Ma è molto probabile che incidenti simili saranno sempre più frequenti, come è altrettanto probabile che eventi simili siano già accaduti.
Scrito da Angelo Righi.
Ovviamente i sistemi vulnerabili sono targati Microsoft.
