La Guerra Cibernetica: il caso più famoso

CYBERWARFARE: la Guerra Cibernetica. Si parla molto in questi ultimi mesi della guerra combattuta tra Russia e USA a colpi di attacchi hackers, computer violati e dati rubati.

Oggi queste notizie sono su tutti i media, ma la vera Guerra Cibernetica era cominciata alcuni anni fa, con un caso considerato da tutti il primo vero, grande attacco cibernetico della storia.

Nello scorso autunno, negli Stati Uniti emerse forte la preoccupazione che gli hackers russi potessero intromettersi nei sistemi di voto delle Presidenziali USA. Oggi, a distanza di mesi, un  rapporto Cia ha concluso che Mosca è intervenuta nelle elezioni Usa per aiutare Donald Trump a conquistare la presidenza. Questi temi sono diventati ormai di pubblico dominio e non più argomenti da agenti segreti.

Parafrasando Humphrey Bogart nel film “L’ultima minaccia”, si potrebbe dire che “È la Cyberwarfare, bellezza! La guerra cibernetica! E tu non ci puoi far niente! Niente!”. Ora tutti ne parlano, ma non è nata ora. Anzi il caso più clamoroso, quello che viene considerato come il primo vero importante episodio di guerra cibernetica, risale all’anno 2010 e porta il nome di Stuxnet, uno dei virus informatici più micidiali di sempre.

Nel gennaio 2010, nella centrale nucleare di Natanz in Iran, le centrifughe dedicate all’arricchimento dell’Uranio235 (per separarlo dall’isotopo 238) impazzirono, andando fuori controllo (da 1.064 giri/minuto passarono a 1.410 giri/minuto) ed esplosero. Questo mise fuori uso almeno 1.000 delle 5.000 centrifughe iraniane e comportò un ritardo di alcuni anni per il programma nucleare iraniano.

Cosa era successo? E da dove veniva l’attacco?

Questo genere di attacchi informatici non viene mai dichiarato, né “firmato”, ma ormai sappiamo molto di questo episodio.

Già dal 2006 il programma nucleare iraniano preoccupava Stati Uniti ed Israele. Il presidente Bush diede l’ordine segreto di portare un cyber attacco contro le centrali iraniane, per danneggiare il programma atomico iraniano senza scatenare una guerra convenzionale. Questa operazione, nome in codice “Giochi Olimpici”, fu poi proseguita dal presidente Obama.

L’attacco fu  affidato a esperti americani (National Security Agency, NSA), in collaborazione con tecnici informatici israeliani (la mitica Unit 8200 dell’Israel Defense Force – IDF). Fu creato un malware micidiale, denominato Stuxnet, che era in grado di agire sui PLC Siemens Simatic S7-300, adibiti al controllo delle centrifughe (utilizzate per separare materiali nucleari come l’uranio arricchito). Le centrifughe nell’impianto di Natanz erano di tipo P-1, basate su vecchi progetti che il governo iraniano aveva acquistato dal Pakistan. Stuxnet agì nei primi mesi del 2010, nonostante la prima versione del software sembra essere datata – secondo Kaspersky – nel giugno 2009.

Come era entrato Stuxnet nella centrale di Natanz?

Ovviamente gli iraniani non erano così sprovveduti da mettere in rete le loro segretissime centrali. Il problema per gli attaccanti era perciò quello di riuscire a far entrare il malware a Natanz. Ormai sembra assodato che l’inizio del contagio da parte di Stuxnet sia probabilmente avvenuto dall’interno della centrale stessa tramite una chiavetta USB infetta in mano ad un ignaro tecnico iraniano. Impiegando la chiavetta su vari PC,  l’infezione si è poi propagata negli impianti, cercando il software industriale Step7 (realizzato dalla Siemens) che controllava i PLC della centrale, e modificandone il codice.

Il presidente iraniano Mahmud Ahmadinejad all’interno della centrale nucleare di Natanz

Ancora oggi le chiavette USB sono un metodo relativamente facile e poco sospettabile per iniettare codice malevolo. La maggior parte delle persone, infatti, le inserisce nel computer senza preoccuparsi troppo di eventuali virus che queste possono contenere. Questo è proprio una delle cose che spiego nei miei corsi sulla Cybersecurity: fare attenzione alle chiavette USB di provenienza non sicura!

Sempre nel 2010, versioni successive del virus Stuxnet colpirono altre cinque organizzazioni iraniane, con l’obiettivo di controllare e danneggiare la produzione iraniana di uranio arricchito. Oltre il 60 per cento dei computer infettati da Stuxnet nel 2010 erano in Iran.

In seguito all’infezione del virus nella centrale, Stuxnet si è diffuso al di fuori dallo stabilimento. Sembra che sia stato Israele a voler potenziare il virus per renderlo più aggressivo e capace di propagarsi più facilmente. Forse troppo: al punto che un computer portatile contagiato nella centrale di Natanz, avrebbe poi portato il codice pirata fuori dai sistemi interessati, provocando danni importanti su altre reti, che non dovevano essere assolutamente tra gli obbiettivi. Stuxnet non avrebbe mai dovuto uscire da Natanz, e invece, andato fuori controllo, ha iniziato a diffondersi su internet. Obama si sentì dire: “Abbiamo perso il controllo del virus”.

Ormai scoperto, rilevato e analizzato dalle maggiori società di cybersecurity (Kaspersky, F-Secure ed altre), Stuxnet è stato immediatamente considerato come un virus “anomalo” e troppo sofisticato per essere stato creato da normali pirati informatici. I sospetti si sono subito concentrati su i servizi di intelligence americani e israeliani, gli unici in grado di realizzare un software con caratteristiche simili. A fine 2010 Stuxnet, o una sua variante, era venduto al mercato nero (nel Darkweb).

“The NSA and Israel wrote Stuxnet together”: nel luglio 2013 Edward Snowden ha confermato che Stuxnet è stato progettato dalla NSA con la collaborazione dell’intelligence israeliana, tramite un corpo speciale noto come Foreign Affairs Directorate (FAD).

Questa vicenda, ormai analizzata in ogni dettaglio, ha ancora aspetti poco noti che la fanno assomigliare ad un inquietante film di guerra o di spionaggio.

Dicevamo che nessuno ha mai rivendicato l’attacco né messo la propria firma su Stuxnet. Ma in realtà, forse questa “firma” esiste veramente. Quando gli analisti hanno sezionato il codice di Stuxnet hanno trovato diverse funzioni. Tra queste c’è la funzione numero 16 che contiene una variabile il cui valore è 19790509. Poiché a questa variabile, di puro controllo, poteva essere assegnato qualunque valore, perché proprio quel numero? Qualcuno ha scoperto che 19790509 corrisponde alla data 9 maggio 1979, che ha un significato molto preciso sia per l’Iran che per Israele: in quel giorno nella piazza di Teheran venne giustiziato Habib Elghanian, il capo della comunità ebraica iraniana. Fu una delle prime esecuzioni di ebrei da parte del nuovo regime khomeinista iraniano.

Può sembrare romanzesco, ma forse in quella variabile Israele ha voluto mettere la propria firma…

Non solo: in quel periodo, c’erano alcune centrifughe del tipo P-1 (come quelle di Natanz), installate, guarda caso, nella centrale israeliana di Dimona. Poche per scopi produttivi, ma sufficienti per fare dei test. E fornite ad Israele proprio dagli Stati Uniti (che le aveva recuperate dal programma nucleare libico).

“Tutto torna” direbbe qualcuno.

© Copyright 2017 Giorgio Sbaraglia
All rights reserved.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *