stuxnet virus

Il caso Stuxnet, tutto quello che nessuno vi ha mai raccontato

Il nome Stuxnet rappresenta una pietra miliare nella storia dell’informatica malevola. Eppure, in pochissimi sanno di che cosa si tratta.
Ecco per quale motivo ve ne parliamo noi oggi.

Stuxnet rappresenta uno degli attacchi più a lungo pianificati ed architettati della storia.
Si tratta forse di uno dei virus informatici più complessi mai creati. La sua nascita ha rappresentato l’inizio ufficiale di una nuova era dell’informatica: il cyberwarfare, ovvero la guerra cibernetica, l’introduzione delle tecniche di hacking come nuova metodologia di conflitto tra Stati.

Il concetto di cyberwarfare si sposa bene anche nel contesto odierno.
Il raid aereo statunitense all’aeroporto di Baghdad risalente gennaio 2020, nel quale venne ucciso un importante generale iraniano, ha rialzato la tensione tra i due stati interessati dall’attacco Stuxnet: Stati Uniti e Iran.
Consci degli eventi passati, si è immediatamente pensato a possibili ritorsioni iraniane e in particolare, a cyber-attacchi iraniani verso gli USA.
Ecco che, ancora una volta, si è tornato a parlare di Cyberwarfare. Ma le radici di questo termine sono ben più antiche.

Ci riferiamo al 2010, infatti, quando si è svolto quello che tutt’oggi viene considerato il più grande ed il più conosciuto attacco cibernetico della storia: Stuxnet Attack.

ICS o Industrial Control Systems, la chiave per comprendere il caso di Stuxnet

Facciamo una breve digressione sul caso Stuxnet per chiarire cosa si intende quando si parla di ICS.

ICS è l’acronimo di Industrial Control Systems, sistemi di controllo industriale.
Si tratta di dispositivi, sistemi, reti e controlli usati per l’automazione, la gestione e la manutenzione di processi industriali.
In generale, gli ICS presiedono al controllo di grandi infrastrutture nei settori più disparati:

  • centrali elettriche
  • porti
  • autostrade
  • ferrovie
  • impianti di produzione
  • distribuzione di idrocarburi
  • reti di telecomunicazione.

Tra questi impianti troviamo a buon diritto quelli che la direttiva NIS individua come Infrastrutture Critiche (IC), ovvero “quegli elementi, sistemi o parti di questi, ubicati negli stati membri ed essenziali al mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini, il cui danneggiamento o la cui distruzione avrebbe un impatto significativo.”

Per spiegare l’importanza di queste infrastrutture, diremo che si tratta di sistemi attraverso i quali gli stati assicurano ai propri cittadini i servizi fondamentali e dai quali dipende il benessere della società:

  1. cibo
  2. trasporti
  3. servizi sanitari
  4. telecomunicazioni
  5. rete bancaria
  6. servizi finanziari
  7. istituzioni politiche
  8. sicurezza pubblica e privata.

Ogni interruzione o perdita del servizio di una delle infrastrutture chiave menzionate può produrre ricadute fatali per la società e per il singolo cittadino.
Grazie al D.lgs. 18 maggio 2018, n.65, l’Italia ha recepito la Direttiva europea 2016/1148, cosiddetta Direttiva NIS (acronimo di Network and Information Security), che appunto definisce gli Operatori di Servizi Essenziali (OSE); cioè le organizzazioni, pubbliche o private, che forniscono i servizi di cui abbiamo parlato.

Attacchi informatici alle infrastrutture ICS

Torniamo al nostro tema.

Resta evidente che l’attacco alle infrastrutture critiche da sempre costituisce un elemento privilegiato tra stati belligeranti.
Fino ad alcuni decenni fa si bombardavano ponti, ferrovie ed aeroporti. Oggi le IC sono tutte governate da sistemi informatici:

cosa ci può essere di più efficace, sicuro e redditizio per l’offensore che trasportare l’attacco sul piano cibernetico?

Il caso Stuxnet, dove tutto è nato

Le tecniche di guerriglia applicate all’informatica nascono ufficialmente, per l’appunto, nel 2010.

L’Iran era alle prese con un piano nucleare senza precedenti. A questo scopo, lo stato aveva attrezzato grandi impianti per la lavorazione dell’uranio.
In particolare a Natanz, 300 km a sud di Teheran, esisteva un’importante centrale per l’arricchimento dell’esafluoruro di uranio allo scopo di ricavarne l’isotopo U-235: indispensabile per la costruzione di ordigni nucleari.

L’arricchimento viene eseguito mediante centrifughe apposite: un sistema interamente informatizzato. In questo caso, nella centrale di Natanz tali centrifughe erano governate da centraline prodotte dalla Siemens (per l’esattezza, dei PLC Siemens Simatic S7-300) che a loro volta erano controllate e programmate dal software Siemens Step7 installato su vari server Windows della rete interna della centrale.

Per avere queste informazioni, indispensabili per mettere in opera un progetto di estrema complessità, era stato avviato già da alcuni anni un complesso piano di intelligence. Lo studio era portato avanti dai servizi segreti di diversi stati tra cui USA, Israele, Olanda e con buona probabilità Francia.

Pare sia per questo motivo che il nome in codice dell’intera operazione fu scelto Olympic Games.

stuxnet virus attacco

Il caso Stuxnet, la nascita del malware

L’intera vicenda ha davvero i connotati di una spy story ed infatti, in questi termini è stata raccontata nel film-documentario Zero Days del 2016.

Naturalmente, come sempre accade quando il crimine informatico arriva ad invadere il campo dello spionaggio industriale, dell’intelligence e dei conflitti tra Paesi sovrani: non esistono ammissioni di responsabilità, dichiarazioni pubbliche o conferenze stampa che confermino i fatti.

Tuttavia, in merito all’attacco Stuxnet ci sono sufficienti testimonianze, indizi e prove per avere un’idea piuttosto precisa degli eventi.

Il problema nasce da un’esigenza ben più precisa.
Lo sviluppo del programma nucleare iraniano preoccupava gli Stati Uniti e Israele già dal 2006.

Pare che già nel 2008 gli israeliani avessero chiesto al presidente USA (all’epoca George W. Bush, durante il secondo mandato) di fornire un ordigno in grado di distruggere i bunker sotterranei dove avveniva la lavorazione dell’uranio.
Bush rifiutò di dare il suo assenso allo sviluppo di un’arma di quest’entità, ma diede invece l’avvio ad un progetto meno cruento, teso al sabotaggio fisico delle apparecchiature che permettevano lo sviluppo del nucleare in Iran.

A questo scopo furono coinvolti la potentissima agenzia americana NSA (National Security Agency) in collaborazione con i tecnici israeliani della IDF (Israel Defense Force), tra i più esperti al mondo di tecnologie di hacking.

A questo progetto, a quanto pare, furono dedicate risorse ingentissime: è stato stimato da Microsoft che per la sua realizzazione siano occorse non meno di 10.000 giorni/uomo di lavoro.

Il prodotto di questo sforzo congiunto fu un virus informatico che venne in seguito chiamato Stuxnet, che vide una sua prima versione (detta Stuxnet.a) già nel 2009. A quanto pare, questo malware venne testato inizialmente su impianti “di prova” israeliani situati nel deserto del Negev, ovviamente, il tutto in gran segreto.

La versione successiva (Stuxnet.b) era pronta all’inizio del 2010.

Tuttavia, restava il problema di come farla penetrare nella centrale iraniana, dal momento che questa possedeva sì una rete di computer interna, ma proprio per motivi di sicurezza non aveva nessuna connessione Internet.
Oggi è ormai assodato che il malware Stuxnet venne inoculato all’interno di Natanz tramite una chiavetta USB infetta, che qualche ignaro tecnico iraniano finì per inserire in uno dei pc Windows della rete. Come sia arrivata la chiavetta in mano al tecnico non è dato saperlo.

Se anche voi avete sentito la versione che sostiene che le chiavette infette siano state lanciate da un aereo o da un drone in volo sopra la zona di Natanz, sappiate che si tratta solamente di una leggenda.

L’arrivo del malware Stuxnet nella rete della centrale nucleare

Sia come sia, Stuxnet virus si diffuse replicandosi velocemente nella rete della centrale.

Si attivò sui pc su cui era presente il software Siemens Step7 di controllo dei PLC delle centrifughe, riprogrammando gli stessi e causando il malfunzionamento di queste ultime.

Il virus era in grado di aumentare la velocità di rotazione delle centrifughe da 1064 a 1410 Hz.
Un’alterazione notevole, ben oltre il limite di sicurezza, anche solo per pochi minuti. Terminata la sua azione, il malware si silenziava e tutti i valori venivano riportati alla normalità.

Questo causava un deterioramento precoce dei componenti ed è proprio così che, una dopo l’altro le centrifughe cominciarono a collassare.

Nello stesso tempo, Stuxnet forniva ai sistemi di controllo dei valori del tutto regolari, in modo tale che gli ingegneri iraniani non si accorgessero del problema. Quando l’anomalia venne rilevata non fu possibile capire dove e quale fosse la causa.
Questa cosa andò avanti per diversi mesi, riuscendo a sabotare con efficacia l’intero programma iraniano di sviluppo del nucleare.

Si stima che oltre 5000 delle 9000 centrifughe installate vennero messe fuori uso dal virus Stuxnet.

Ancora nel 2010, Stuxnet colpì altre cinque organizzazioni in Iran. Tra queste, ad esempio, la centrale di Bushehr dove venne danneggiata la turbina a vapore della centrale elettrica.
Il virus informatico però (forse in una nuova variante, resa ancora più aggressiva dagli israeliani) si diffuse presto anche al di fuori dell’Iran, arrivando a colpire bersagli che non erano assolutamente nelle intenzioni di chi lo aveva progettato e creato.

Già il 29 settembre 2010 erano già stati infettati oltre 100.000 computer in molti paesi (oltre all’Iran, in Indonesia, India, USA, Azerbaijan, Regno Unito, e moltissimi altri).

Stuxnet però era progettato per attivarsi esclusivamente in presenza del software Step7 di Siemens, quindi, su molti degli host infetti era presente ma non vennero causati danni.

I risultati dell’attacco Stuxnet

I paesi effettivamente danneggiati da Stuxnet virus furono:

  • Iran
  • Corea del Sud
  • Stati Uniti
  • Regno Unito
  • Indonesia
  • Taiwan
  • India
  • Russia
  • Bielorussia, dove venne scoperto e isolato nel giugno 2010.

Stuxnet, una volta scoperto, venne quindi analizzato dalle più grandi società di cybersecurity esistenti al mondo.
Fu proprio Symantec a generare un intero dossier dettagliato, chiamato “W32.Stuxnet Dossier Version 1.4 (February 2011)”, dove il virus viene descritto in tutta la sua impressionante complessità.

Vediamo per sommi capi come funzionava questo vero e proprio gioiello tra i malware:

Caratteristiche del malware Stuxnet

Tanto per cominciare, Stuxnet per replicarsi e diffondersi nella rete utilizza ben quattro vulnerabilità zero-day di Windows.

Una minaccia zero-day è una vulnerabilità che non è ancora nota alle società di sicurezza e ai produttori del software, e per cui non esiste ancora un rimedio o una patch per “tappare la falla”. Questi tipi di zero-day possono valere, secondo gli esperti, anche 250.000 dollari ognuno sul mercato nero, e nessun altro virus aveva mai fatto uso di più di una vulnerabilità zero-day. E’ anche per questo motivo che appare evidente che solo delle organizzazioni a livello di stato nazionale (come l’NSA americana e l’IDF israeliana) avrebbero avuto i mezzi per creare un progetto di questa portata.

  1.  Il virus inoltre conteneva certificati di sicurezza validi (evidentemente “carpiti” a società di software legittime) e per questo motivo veniva accettato senza riserve dal sistema operativo e dal software “ospite”.
  2. Stuxnet aveva al suo interno anche delle parti di rootkit, che lo rendevano praticamente invisibile e pertanto difficilissimo da individuare e da rimuovere, diventando praticamente trasparente al sistema operativo.
  3. Oltre a ciò, il virus era progettato in modo che il software di controllo Siemens mostrasse dei valori dei parametri di controllo del tutto normali anche mentre le centraline giravano al di fuori del loro range; quindi rendendo ancora più difficile il troubleshooting agli ingegneri iraniani.
  4. Infine, Stuxnet conteneva al suo interno anche un meccanismo a tempo: il 24 giugno 2012 il virus si sarebbe disattivato da solo, rimuovendo tutte le tracce di sé dai sistemi infettati. Questa funzione fu probabilmente prevista anche per evitarne una diffusione incontrollata all’infinito, vista la sua inconsueta aggressività.
codice virus stuxnet

Chi creò il malware Stuxnet?

Come dicevamo, naturalmente né gli Stati Uniti né Israele hanno mai apertamente ammesso che l’intero progetto Stuxnet fosse stata opera loro, ma con il tempo si sono collezionati numerosi indizi in tal senso.

Edward Snowden, a luglio 2013, in un’intervista col giornalista Jacob Appelbaum pubblicata su Der Spiegel, afferma pubblicamente che

“The NSA and Israel wrote Stuxnet together”

Come in ogni thriller che si rispetti, il colpevole lascia la sua firma in modo che possa essere trovata!

Nel codice del virus compare una variabile di controllo, a cui è stato assegnato il valore numerico “19790509”, che viene confrontata con una chiave ricercata nella registry di Windows. A questa variabile poteva essere dato un valore qualsiasi. Perché i creatori del virus scelsero proprio quel numero?
Ebbene, il 9 maggio del 1979 rappresenta una data particolarmente funesta per gli israeliani.

Quel giorno a Teheran venne giustiziato il capo della comunità ebraica iraniana dal regime khomeinista, marcando l’inizio della persecuzione da parte degli ayatollah verso gli ebrei residenti in Iran e dando inizio all’esodo di massa di questi ultimi.

Naturalmente il collegamento tra il numero misterioso nascosto nel codice di Stuxnet e la data dell’evento sanguinoso che Israele non ha mai dimenticato rimane solo un sospetto; ma il coinvolgimento dell’intelligence e degli hacker di stato americani ed israeliani a questo punto è fuori di dubbio.

Dopo Stuxnet, l’inizio di una nuova era

Stuxnet, quindi, marcò l’inizio ufficiale di un nuovo modo di combattere le guerre, l’era del cyberwarfare.

Il caso Stuxnet ha rappresentato un punto di svolta nei rapporti tra stati: un effetto paragonabile all’impiego militare per la prima volta della bomba atomica.

Enrico Borghi, del Copasir, ci ricorda quanto gli esperti di cybersecurity vanno già predicendo da anni: e cioè che le guerre del terzo millennio non si combatteranno con i cannoni, ma con i computer. Non per questo meno letali. Immaginiamo solo cosa potrebbe succedere se le Infrastrutture Critiche di cui parlavamo all’inizio cadessero sotto il controllo informatico di terroristi…
Non è più un caso se la cyber security è diventata, e lo è ogni giorno di più, un punto di estrema attenzione nell’agenda dei governi di ogni Nazione.

consulenti cybermenti

Articolo di:

Consulente Cyber Security per Cyberment

  • Consulente IT

Visita il profilo Linkedin

consulenti cybermenti

Articolo di:

Consulente Cyber Security per Cyberment

  • Consulente IT

Visita il profilo Linkedin