La Guerra Cibernetica: Stuxnet, il caso più famoso

CYBERWARFARE: la Guerra Cibernetica. Si parla molto in questi ultimi mesi della guerra combattuta tra Russia, Cina e USA a colpi di attacchi hackers, computer violati e dati rubati.

Oggi queste notizie sono su tutti i media, ma la vera Guerra Cibernetica era cominciata alcuni anni fa, con un caso considerato da tutti il primo vero, grande attacco cibernetico della storia.

Nell’autunno 2016, negli Stati Uniti emerse forte la preoccupazione che gli hackers russi potessero intromettersi nei sistemi di voto delle Presidenziali USA. Alcuni mesi dopo, un  rapporto CIA ha concluso che Mosca è intervenuta nelle elezioni Usa per aiutare Donald Trump a conquistare la presidenza. Questi temi sono diventati ormai di pubblico dominio e non più argomenti da agenti segreti. È il caso ormai noto a tutti con il nome di “Russiagate”, sul quale sta indagando anche il procuratore speciale Robert Mueller.

Parafrasando Humphrey Bogart nel film “L’ultima minaccia”, si potrebbe dire che “È la Cyberwarfare, bellezza! La guerra cibernetica! E tu non ci puoi far niente! Niente!”. Ora tutti ne parlano, ma non è nata ora. Anzi il caso più clamoroso, quello che viene considerato come il primo vero importante episodio di guerra cibernetica, risale all’anno 2010 e porta il nome di Stuxnet, uno dei virus informatici più distruttivi mai realizzati.

Si tratta di una vicenda complessa, con risvolti “da film”. Ed in effetti l’attacco Stuxnet è stato raccontato anche nel film documentario “Zero Days” (2016) del regista premio Oscar Alex Gibney.

Nel gennaio 2010, nella centrale nucleare di Natanz in Iran, le centrifughe dedicate all’arricchimento dell’Uranio235 (per separarlo dall’isotopo 238) impazzirono, andando fuori controllo (da 1.064 giri/minuto passarono a 1.410 giri/minuto) ed esplosero. Questo mise fuori uso almeno 1.000 delle 5.000 centrifughe iraniane e comportò un ritardo di alcuni anni per il programma nucleare iraniano.

Poiché l’impianto di arricchimento dell’uranio di Natanz era sotterraneo, sarebbe stato probabilmente impossibile distruggerlo con un attacco militare convenzionale. Come ha scritto Raoul Chiesa: “Quanti soldati, missili e carri armati sarebbero stati necessari per ottenere lo stesso risultato?”

Cosa era successo? E da dove veniva l’attacco?

Questo genere di attacchi informatici non viene mai dichiarato, né “firmato”, ma ormai sappiamo molto di questo episodio.

Già dal 2006 il programma nucleare iraniano preoccupava Stati Uniti ed Israele. Il presidente Bush diede l’ordine segreto di portare un cyber attacco contro le centrali iraniane, per danneggiare il programma atomico iraniano senza scatenare una guerra convenzionale. Questa operazione, nome in codice “Giochi Olimpici”, fu poi proseguita dal presidente Obama.

L’attacco fu  affidato a esperti americani (National Security Agency, NSA), in collaborazione con tecnici informatici israeliani (la mitica Unit 8200 dell’Israel Defense Force – IDF). Fu creato un malware micidiale, denominato Stuxnet, che era in grado di agire sui PLC Siemens Simatic S7-300, adibiti al controllo delle centrifughe (utilizzate per separare materiali nucleari come l’uranio arricchito). Le centrifughe nell’impianto di Natanz erano di tipo P-1, basate su vecchi progetti che il governo iraniano aveva acquistato dal Pakistan. Stuxnet agì nei primi mesi del 2010, nonostante la prima versione del software sembra essere datata – secondo Kaspersky – nel giugno 2009.

Come era entrato Stuxnet nella centrale di Natanz?

Ovviamente gli iraniani non erano così sprovveduti da mettere in rete le loro segretissime centrali e quindi gli attaccanti hanno dovuto necessariamente accedere alla rete locale per far entrare il malware a Natanz. Ormai sembra assodato che l’inizio del contagio da parte di Stuxnet sia probabilmente avvenuto dall’interno della centrale stessa tramite una chiavetta USB infetta.

Ormai è noto, infatti, che l’infezione di Stuxnet è partita da cinque fornitori iraniani, di cui uno produceva componenti facenti parte delle centrali che il malware aveva messo nel mirino. Queste aziende erano ignare di essere state attaccate e, una volta infette, è stata solo una questione di tempo prima che la centrale di Natanz venisse colpita.   Attraverso una chiavetta USB inserita su vari computer all’interno di Natanz,  l’infezione si è propagata negli impianti, cercando il software industriale Step7 (realizzato dalla Siemens) che controllava i PLC della centrale, e modificandone il codice.

Il presidente iraniano Mahmud Ahmadinejad all’interno della centrale nucleare di Natanz

Ancora oggi le chiavette USB sono un metodo relativamente facile e poco sospettabile per iniettare codice malevolo. La maggior parte delle persone, infatti, le inserisce nel computer senza preoccuparsi troppo di eventuali virus che queste possono contenere. Questo è proprio una delle cose che spiego nei miei corsi sulla Cybersecurity: fare attenzione alle chiavette USB di provenienza non sicura!

Sempre nel 2010, versioni successive del virus Stuxnet colpirono altre cinque organizzazioni iraniane, con l’obiettivo di controllare e danneggiare la produzione iraniana di uranio arricchito. Oltre il 60 per cento dei computer infettati da Stuxnet nel 2010 erano in Iran.

In seguito all’infezione del virus nella centrale, Stuxnet si è diffuso al di fuori dallo stabilimento. Sembra che sia stato Israele a voler potenziare il virus per renderlo più aggressivo e capace di propagarsi più facilmente. Forse troppo: al punto che un computer portatile contagiato nella centrale di Natanz, avrebbe poi portato il codice pirata fuori dai sistemi interessati, provocando danni importanti su altre reti, che non dovevano essere assolutamente tra gli obbiettivi. Stuxnet non avrebbe mai dovuto uscire da Natanz, e invece, andato fuori controllo, ha iniziato a diffondersi su internet. Obama si sentì dire: “Abbiamo perso il controllo del virus”.

La propagazione di Stuxnet sembra essere cominciata nella seconda parte del 2010, quando in Bielorussia fu trovato in un computer portatile (che era stato in Iran) un malware sconosciuto. Dopo le prime analisi, si scoprì che il virus aveva una firma certificata che gli consentiva di superare i controlli del sistema operativo senza troppi problemi, fatto che catturò l’attenzione degli analisti. Quel malware era proprio Stuxnet.

Ormai scoperto, rilevato e analizzato dalle maggiori società di cybersecurity (Kaspersky, Symantec, F-Secure ed altre), Stuxnet è stato immediatamente considerato come un virus “anomalo” e troppo sofisticato per essere stato creato da normali pirati informatici. Molto interessante – al proposito – il dettagliato rapporto “W32.Stuxnet Dossier Version 1.3 (November 2010)”, realizzato da Symantec.

Dalle analisi fatte – con  tecniche di reverse engineering – si capì che Stuxnet era una perfetta e sofisticata “macchina da guerra (cibernetica)”, con caratteristiche uniche e mai viste prima:

    • sfruttava non uno, ma ben quattro exploit cosiddetti “zero-day”, cioè vulnerabilità non ancora note alle società di sicurezza;
    • utilizzava un falso certificato Microsoft per sembrare autentico e non destare sospetti;
    • non entrava in azione se non aveva individuato l’obbiettivo per il quale era stato realizzato, cioè i PLC Siemens che controllavano le centrifughe iraniane;
  • restituiva un falso feedback di controllo, senza segnalare allarmi, per far credere ai controllori della centrale che tutto stava procedendo senza problemi (mentre le centrifughe “impazzivano”).

Si capì anche che il malware era stato progettato per colpire gli impianti di arricchimento dell’uranio in Iran, quindi i sospetti si concentrarono sui servizi di intelligence americani e israeliani, gli unici in grado di realizzare un software con caratteristiche simili. A fine 2010 Stuxnet, o una sua variante, era venduto al mercato nero (nel Darkweb).

“The NSA and Israel wrote Stuxnet together”: nel luglio 2013 Edward Snowden ha confermato che Stuxnet è stato progettato dalla NSA con la collaborazione dell’intelligence israeliana, tramite un corpo speciale noto come Foreign Affairs Directorate (FAD).

Questa vicenda, ormai analizzata in ogni dettaglio, ha ancora aspetti poco noti che la fanno assomigliare ad un inquietante film di guerra o di spionaggio.

Dicevamo che nessuno ha mai rivendicato l’attacco né messo la propria firma su Stuxnet. Ma in realtà, forse questa “firma” esiste veramente. Quando gli analisti hanno sezionato il codice di Stuxnet hanno trovato diverse funzioni. Tra queste c’è la funzione numero 16 che contiene una variabile il cui valore è 19790509. Poiché a questa variabile, di puro controllo, poteva essere assegnato qualunque valore, perché proprio quel numero? Qualcuno ha scoperto che 19790509 corrisponde alla data 9 maggio 1979, che ha un significato molto preciso sia per l’Iran che per Israele: in quel giorno nella piazza di Teheran venne giustiziato Habib Elghanian, il capo della comunità ebraica iraniana. Fu una delle prime esecuzioni di ebrei da parte del nuovo regime khomeinista iraniano.

Può sembrare romanzesco, ma forse in quella variabile Israele ha voluto mettere la propria firma…

Non solo: in quel periodo, c’erano alcune centrifughe del tipo P-1 (come quelle di Natanz), installate, guarda caso, nella centrale israeliana di Dimona. Poche per scopi produttivi, ma sufficienti per fare dei test. E fornite ad Israele proprio dagli Stati Uniti (che le aveva recuperate dal programma nucleare libico).

“Tutto torna” direbbe qualcuno.

Il caso Stuxnet rappresenta solo uno degli attacchi ICS (Industrial Control Systems, i sistemi di controllo industriale), che colpiscono le infrastrutture critiche di interi paesi e nazioni. In questo mio articolo racconto anche altri casi, accaduti nel mondo a partire dagli anni 2000.

© Copyright 2019 Giorgio Sbaraglia
All rights reserved.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento