Stuxnet, il virus informatico più distruttivo della storia



[ZEUS News - www.zeusnews.it - 13-07-2021]

stuxnet
Credits: Chappatte/International Herald Tribune

Questa storia inizia in un giorno di giugno del 2010, in Bielorussia. È un giorno come un altro presso la VirusBlokAda, una società di sicurezza informatica. Uno dei suoi specialisti, Sergei Ulasen, scopre un esemplare di un nuovo virus: gli capita spesso nel suo lavoro. Lo segnala pubblicamente in un forum di esperti, come è normale. Nota, però, che è un virus che si propaga usando una tecnica insolita, eludendo le normali difese di Microsoft Windows.

Sergei non sa ancora di avere per le mani uno dei virus informatici più distruttivi e sofisticati di sempre, che si sta diffondendo in tutto il mondo attraverso Internet ed è sfuggito al controllo dei suoi creatori.

Ma questo virus così potente ha anche un'altra particolarità: non fa assolutamente nulla. Non cancella dati, non ruba password: si limita a girare per Internet alla ricerca di qualcosa, ma all'inizio non si capisce bene cosa.

Ci vorranno parecchi mesi, e servirà il lavoro coordinato dei migliori esperti informatici civili del mondo, per venire a capo di questo mistero. Ma a quel punto sarà troppo tardi: il virus avrà già raggiunto il suo bersaglio, un delicatissimo impianto nucleare, danneggiandolo gravemente.

Questa è la storia di come quel virus, denominato Stuxnet, sia riuscito a superare tutte le difese di quell'impianto nucleare e a infettarlo in modo invisibile, nonostante fosse blindatissimo e isolato fisicamente da Internet, e di come Stuxnet sia stato capace di causare danni fisici ai macchinari dell'impianto, scrivendo una pagina nuova e inquietante della storia della guerra informatica.

C'è un'espressione, in informatica, che indica il massimo livello possibile della sicurezza dei dati e dei sistemi: air gap. Letteralmente vuol dire "divisorio d'aria": significa che il sistema informatico non è collegato in alcun modo al resto del mondo. Niente Internet, niente cavi di rete, niente Wi-Fi: non entra e non esce nulla. Un sistema con air gap è un'isola, una fortezza.

Questo isolamento drastico si usa per proteggere le risorse strategiche di un'azienda o di un paese: centrali elettriche, impianti di produzione, sistemi militari, archivi di dati sensibili. Cose preziose e costosissime, che devono assolutamente funzionare sempre.

L'impianto nucleare iraniano di Natanz è una di queste risorse protette da un air gap: è un complesso in gran parte sotterraneo, dentro il quale lavorano incessantemente migliaia di centrifughe, ossia degli apparati che ruotano ad altissima velocità per separare gli isotopi dell'uranio allo scopo di usarli nella produzione di energia nucleare o, potenzialmente, nella fabbricazione di bombe atomiche (che il governo iraniano dichiara però di non voler realizzare).

Ma qualcuno ha deciso che quelle centrifughe, a torto o a ragione, vanno fermate. Un attacco militare tradizionale sarebbe difficilissimo, perché le bombe non riuscirebbero a sfondare i massicci bunker sotterranei, e soprattutto sarebbe un atto politicamente esplosivo. Serve un approccio più sottile, preferibilmente invisibile: ed è qui che entra in scena l'informatica. Come si recapita un attacco informatico a un sistema che è isolato da Internet e dal mondo?

Torniamo da Sergei Ulasen, lo specialista bielorusso che per primo, a giugno del 2010, ha isolato lo strano virus informatico, più propriamente un worm, e lo sta esaminando. All'inizio sembra un virus abbastanza ordinario, che sfrutta una falla di sicurezza di Microsoft Windows che gli consente di infettare un computer semplicemente inserendovi una chiavetta USB infetta. Non ha bisogno che l'utente apra un file o lo esegua: il solo fatto di guardare il contenuto della chiavetta con Esplora Risorse è sufficiente a completare l'infezione. Una tecnica potente, che però Microsoft blocca rapidamente diffondendo un aggiornamento per Windows a luglio 2010, un mesetto dopo la scoperta.

Gli esperti informatici civili di tutto il mondo cominciano a parlarne pubblicamente, ma lo segnalano semplicemente come uno dei tanti malware in circolazione in quel periodo. Poi cominciano ad accorgersi che questo virus ha qualcosa di davvero speciale. Gli danno il nome che lo renderà famoso fra gli informatici: Stuxnet, che è una fusione di alcune parole chiave presenti nel suo codice (stub e mrxnet.sys).

Stuxnet manifesta ben presto delle preferenze molto precise: si diffonde indiscriminatamente, effettuando migliaia di tentativi al giorno di infettare altri computer Windows, ma contiene una serie di istruzioni dedicate a colpire soltanto degli specifici apparati di controllo programmabili, i cosiddetti SCADA, usatissimi nei processi industriali, e ce l'ha specificamente con quelli di una sola marca, la Siemens. Tuttavia non colpisce tutti gli apparati di controllo di questa azienda: è molto schizzinoso, e li infetta soltanto se sono collegati a macchinari specifici, ad altissime prestazioni.

È un comportamento molto strano, che lascia perplessi gli esperti: nell'ottica del virus tradizionale, creato da criminali, non ha senso essere così selettivi. Intanto le infezioni si diffondono in tutto il pianeta, e anche qui Stuxnet si rivela stranamente attento nella scelta dei bersagli. Vengono segnalati casi di infezioni da Stuxnet in Pakistan, negli Stati Uniti, in India e in Indonesia, ma ben il 60% dei computer infettati si trova in Iran. Un altro dettaglio che non ha senso, visto che i sistemi SCADA della Siemens non sono vendibili all'Iran a causa dell'embargo internazionale.

Man mano che gli esperti proseguono nell'analisi di Stuxnet, emerge un altro fatto assolutamente insolito: questo virus sfrutta ben quattro vulnerabilità di Windows prima sconosciute. Di solito un malware sofisticato ne usa una sola: adoperarne quattro in una sola volta è rarissimo, perché una volta usate, queste vulnerabilità non saranno più sfruttabili per attacchi. Come se non bastasse, Stuxnet contiene la firma digitale segreta di due fabbricanti di chip taiwanesi. Queste firme vengono usate per certificare le applicazioni e garantire che non siano pericolose. Rubarle è un'impresa difficilissima.

Chi mai si darebbe così tanta pena per colpire dei sistemi industriali di una marca specifica, ma praticamente solo se si trovano in Iran, dove quella marca non è in vendita?

Soltanto a settembre 2010, tre mesi dopo la scoperta di Stuxnet, alcuni esperti si azzardano timidamente a proporre una spiegazione a tutti questi misteri: il crimine informatico non c'entra nulla. Si tratta, secondo loro, di un'arma informatica militare, concepita e pilotata da qualcuno che ha mire geopolitiche. Sarebbe il primo caso pubblicamente noto di un virus informatico utilizzato a scopi militari per un attacco che ha effetti distruttivi nel mondo reale. Per questo Mikko Hypponen, uno dei più noti esperti di sicurezza informatica, lo descrive come il malware più importante dell'anno e probabilmente del decennio.

Questa spiegazione militare, proposta dai principali produttori di antivirus e ambiguamente supportata da alcune dichiarazioni governative e militari statunitensi e israeliane, è coerente con tutti i fatti accertati e con alcuni altri fatti poco conosciuti che vengono rivelati dagli esperti con il contributo di Wikileaks, come il fatto che in realtà ci sono eccome degli apparati di controllo della Siemens in Iran: sono stati acquistati clandestinamente, eludendo l'embargo, e si trovano proprio negli impianti nucleari del paese. Guarda caso, controllano le centrifughe per l'arricchimento dell'uranio. Che però sono isolate da Internet, come tutti gli impianti nucleari iraniani, da quel famoso air gap. Quindi come ha fatto Stuxnet a raggiungerli? E una volta raggiunti, come ha fatto a non farsi notare?

La ricostruzione più plausibile è che Stuxnet sia stato impiantato, non si sa bene come, nei computer di alcune organizzazioni iraniane che fanno manutenzione agli impianti industriali, compresi quelli nucleari. Il virus sarebbe rimasto dormiente, invisibile, su questi computer fino al momento in cui i tecnici di queste organizzazioni hanno portato i propri computer dentro gli impianti nucleari e li hanno usati per effettuare la manutenzione degli apparati di controllo della Siemens. Ecco come si scavalca l'air gap: qualcuno da fuori porta dentro un dispositivo infetto e lo collega fisicamente agli apparati isolati. Che a questo punto non sono più isolati.

Stuxnet si sarebbe reso conto di aver raggiunto il proprio bersaglio e si sarebbe attivato, installandosi in modo invisibile negli apparati della Siemens di quegli impianti nucleari. E qui, stando all'analisi tecnica del codice di questo virus, sarebbe stata usata un'astuzia molto particolare per non far notare che questi apparati erano infettati e sotto il controllo di Stuxnet.

Per prima cosa, Stuxnet avrebbe modificato il funzionamento degli apparati Siemens iraniani in modo da alterare leggermente la velocità di rotazione delle centrifughe in modo irregolare, creando delle sollecitazioni eccessive che le avrebbero man mano danneggiate fino a rovinarle. Ma per non farsi notare, avrebbe visualizzato e registrato dei dati falsi, che avrebbero fatto credere ai tecnici dell'impianto che tutto fosse normale.

Le centrifughe, insomma, avrebbero dato l'impressione di guastarsi per ragioni assolutamente inspiegabili, e l'esame dei dati registrati dai loro apparati di controllo non avrebbe rivelato nulla di anomalo. In questo modo il virus avrebbe potuto continuare ad agire indisturbato, in segreto, per mesi o anni, e non ne avremmo mai saputo nulla se non avesse contenuto un errore di programmazione.

A causa di questo errore, infatti, quando un tecnico collegò a Internet un computer che era stato usato per la manutenzione degli impianti nucleari iraniani, Stuxnet si diffuse in tutta Internet, infettando centinaia di migliaia di computer e sistemi industriali, e così fu rilevato dagli esperti di sicurezza civili.

L'entità esatta dei danni materiali causati da Stuxnet non è nota. Secondo alcune stime, la sua incursione avrebbe rovinato un quinto di tutte le centrifughe nucleari iraniane. Le autorità del paese hanno ammesso che un virus informatico era riuscito a causare problemi a "un numero limitato" di queste centrifughe. Ma in queste situazioni la disinformazione viene usata da tutti i contendenti, sia per esagerare i propri successi, sia per sminuire le proprie sconfitte.

Quello che è certo è il codice di Stuxnet, che è stato analizzato dagli esperti di aziende come Symantec, Kaspersky, F-Secure e molte altre. Il suo bersaglio e la sua complessità e sofisticazione non sono in dubbio: Stuxnet è la dimostrazione che è possibile realizzare un'arma informatica capace di causare danni fisici a macchinari strategici, e che qualcuno è disposto a usarla. Ma è anche la dimostrazione che persino le armi più sofisticate e mirate possono sfuggire al controllo dei loro creatori.

Su chi siano questi creatori e i loro mandanti, fra l'altro, ci sono solo congetture e ipotesi: ma sono pochi i paesi che hanno competenze informatiche di questo livello e la determinazione politica di usarle per sganciare armi digitali del genere contro un paese specifico.

A un decennio abbondante di distanza da questo esordio delle armi da guerra informatica, oltre al fascino da spy-story della vicenda in sé restano fondamentalmente due lezioni.

La prima è che abbiamo oggi le prove del fatto che dietro le quinte, a nostra insaputa, si combatte una guerra informatica non dichiarata, ma a lungo sospettata, che può usare i nostri dispositivi digitali come cavalli di Troia per distruzioni fisiche, non solo per alterare, rubare o cancellare dati. Stuxnet è soltanto un episodio di questa guerra che è venuto alla luce. Non sappiamo quanti altri ce ne sono stati, e ce ne sono, di cui non verremo mai a conoscenza. Ma almeno adesso sappiamo per certo che la guerra informatica esiste ed è molto concreta.

La seconda lezione è che Stuxnet e i suoi derivati non sono semplicemente un nuovo strumento che si aggiunge all'arsenale militare. Un virus informatico riscrive completamente le regole della guerra. Un'arma convenzionale lascia sempre delle tracce che permettono di risalire ai suoi mandanti: il tipo di esplosivo, i componenti dell'ordigno, il genere di danno che produce, per esempio. Un'arma informatica non ha nulla di tutto questo. Rende incredibilmente facile lanciare il sasso e nascondere la mano, o addirittura dare la colpa a qualcun altro. Non richiede macchinari sofisticati o poligoni di test difficili da occultare.

E questo, come si dice in questi casi, cambia tutto.

Fonti aggiuntive: BBC (2011); BBC (2021); Disinformatico (2010).

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Falla critica nel sistema di stampa di Windows, e la patch ancora non c'è
Rubare i dati da un Pc sfruttando le vibrazioni delle ventole
Un futuro senza chiavette USB
Gru, escavatori e bulldozer hackerabili da remoto
Industroyer, il malware che mette in ginocchio le reti elettriche
Se la spia del computer fa la spia
Il malware che attacca le reti elettriche
L'NSA può penetrare anche nei PC non connessi a Internet
BadBIOS, il virus informatico che si propaga nell'aria
L'algoritmo che proteggerà la Rete dai cyberattacchi
I quindici malware più pericolosi della storia
Flame, dal Medio Oriente un malware pericolosissimo
Chiavetta USB con Stuxnet infettò centrale nucleare iraniana
Tecniche di guerra digitale: Stuxnet
Top 10 dei malware che chiudono il 2011
Droni e social engineering
Hacker danneggiano acquedotto
L'hacker di DigiNotar si fa avanti
Le minacce del 2011
Symantec: Stuxnet cova nell'ombra

Commenti all'articolo (ultimi 5 di 11)

Direi che la pagina di Wikipedia linkata da Cesco67 molto chiara e completa in modo preciso le informazioni fomite dall'articolo e si evince che l'infezione entrata proprio dai PC Windows utilizzati per la programmazione dei PLC sostituendo una delle librerie del SW siemens di programmazione dei PLC. E ancora pi evidente che il... Leggi tutto
17-7-2021 15:22

{struxvid}
Gli Scada hanno Windows come SO, e Windows puè passare parametri operativi errati, ma solo se la programmazione dei PLC è scadente, altrimenti ci sono range associati a periodi di tempo che non si possono modificare da Windows, ma solo connettendosi ai PLC direttamente. E questo avviene solo con una interfaccia locale, non... Leggi tutto
14-7-2021 16:37

Come ha gi scritto jack.mauro i macchinari sono governati da PLC; i PC sono usati per l'interazione fra l'uomo e la macchina, e per la storicizzazione dei dati. E, a quanto mi risulta, i sw commerciali per realizzare queste interfacce sono solo per Windows. --- Invito tutti a leggere la pagina su Wikipedia, dove l'argomento pi... Leggi tutto
14-7-2021 15:23

Ottimo articolo
14-7-2021 11:11

Ma questi macchinari non potrebbero essere collegati a dei pc? I soliti pc con Windows, con il solito software gestionale che funziona solo li ed costato un occhio? Leggi tutto
14-7-2021 09:26

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Saresti favorevole a una "tassa sull'ADSL" per poter scaricare film e musica liberamente?
S
No
Non lo so.

Mostra i risultati (13330 voti)
Ottobre 2021
UE, addio all'anonimato per i domini Internet
Windows 11 è disponibile. Ecco come installarlo anche senza TPM
I disservizi di Facebook costano a Mark Zuckerberg 6 miliardi
Pesa di più una chiavetta USB piena di dati o una vuota?
Settembre 2021
iPhone 14: un progetto completamente nuovo
Microsoft cede: Windows 11 si installa anche su hardware incompatibile
Windows 10, l'update di settembre impedisce di stampare
Truffatori scavalcano le difese informatiche nella maniera più semplice
Apple svela gli iPhone “più Pro” di sempre
Ripristinare il vecchio menu Start in Windows 11
Uno spot mette Windows 11 KO
L'auto elettrica di Apple
Microsoft non bloccherà Windows 11 sui PC non supportati
Windows 11, svelata la data di lancio
Agosto 2021
La barra di Windows 11 è di proposito peggiore di quella di Windows 10
Tutti gli Arretrati
Accadde oggi - 17 ottobre


web metrics