Stuxnet è un worm informatico estremamente sofisticato, diffusosi dal maggio 2009, una vera e propria arma creata per un’operazione di cyberwarfare condotta magistralmente.
Comunemente definito come “virus” è nella realtà un “worm” in grado di diffondersi, aggiornarsi, raccogliere e trasmettere informazioni sensibili, nonché colpire impianti industriali e scomparire.
Procediamo ad una analisi del suo funzionamento, grazie alla quale sarà possibile comprendere come è stato concepito, i suoi reali obbiettivi e i relativi danni causati.
Questo worm è stato scritto con diversi linguaggi di programmazione (fra cui C, C++ e MC7), conseguentemente al fatto che è stato sviluppato per attaccare sistemi differenti in momenti diversi.
Inizialmente si diffonde, principalmente attraverso le reti di trasmissione dati e rimovibili USB, infettando i computer attraverso vulnerabilità del sistema operativo.
Successivamente si indirizza alla ricerca di controllori logico programmabili ( PLC ), particolari apparati, collegabili ai computer, per la gestione di impianti industriali.
In questa fase Stuxnet dimostra tutta la sua sofisticatezza, operando in condizioni e tramite capacità raramente viste prima d’ora.
Procede effettuando ricerche estremamente selettive, interessandosi solo di modelli specifici di PLC, prodotti dalle industrie Siemens, gli S7 300 e 400. Qualora trovati e identificati, ricerca ulteriormente solo i modelli appartenenti ad una specifica sottoserie. Se individuati compie ulteriori verifiche, interessandosi esclusivamente dei PLC regolati con particolari configurazioni e valori specifici.
Stuxnet dimostra quindi di svolgere un’azione assolutamente mirata, verso obbiettivi altamente selezionati.
Compie operazioni solo se identifica le unità PLC con le caratteristiche descritte. In questo caso interviene “infettando”, variando cioè le configurazioni registrate nelle stesse unità PLC.
Conseguentemente con la variazione delle impostazioni registrate nelle unità PLC, risulterà modificato anche il funzionamento dell’impianto industriale collegato alle medesime unità.
In via definitiva, da questo momento, sarà Stuxnet a controllare l’impianto industriale.
Un’altra attività fondamentale, messa in atto da questo worm, è quella di procede ad “infettare” anche i software utilizzati per la gestione dei PLC. In questa fase Stuxnet effettua una compromissione radicale.
Infatti apporta delle modifiche ai software di gestione dei PLC,in conseguenza delle quali, tutte le operazioni fra computer e PLC passeranno, all’insaputa del personale utente, fra le “mani” di Stuxnet. Ogni qual volta il personale si collegherà all’unità PLC tramite un computer, Stuxnet sarà in grado di “mascherare” i valori da lui alterati, visualizzando all’utente solo i vecchi valori, presenti prima della “contaminazione”.
In questo modo le modifiche effettuate da Stuxnet, alle unità PLC, non saranno mai visibili.
L’impianto industriale collegato al PLC funzionerà quindi in maniera alterata, secondo i valori da Stuxnet inseriti, senza che nessuno possa accorgersene.
Stuxnet, cosi come ha degli obbiettivi notevolmente selezionati, è anche stato diffuso in modo assolutamente mirato, prevalentemente in Iran. Conseguentemente a questo fatto e studiando i valori che questo worm ricerca e modifica nei PLC, è stato identificato il suo reale obbiettivo: le centrifughe P1 per l’ arricchimento dell’uranio installate nelle centrali nucleari iraniane.
I valori ricercati da Stuxnet, corrispondono a quelli delle normali velocità dei rotori delle centrifughe P1. Differentemente i valori che Stuxnet va ad inserire alterano il funzionamento delle centrifughe. Modificano la velocità di rotazione dei rotori, imprimendo brevi accelerazioni oltre i limiti, alternate a forti decelerazioni, in spazi di tempo ridottissimi (sembrerebbe inferiori al secondo).
Come si sia realizzato nella praticità il danno alle centrifughe P1 non è ancora stato chiaro. Le ipotesi più plausibili sono due: o le centrifughe hanno funzionato, per mesi, logorandosi lentamente, senza che nessuno potesse identificare la presenza del problema con chiarezza, oppure sono rimaste danneggiate pressoché immediatamente.
Nella centrale di Nantaz , secondo i rapporti dell’ IAEA, i processi di arricchimento dell’uranio hanno subito forti rallentamenti dovuti all’arresto di parte delle centrifughe installate.
In particolar modo, in una ispezione nel 2009, sono risultate non in funzione circa un migliaio di centrifughe P1. Secondo altre fonti di intelligence, ancora oggi,l’impianto opererebbe in modalità ridotta.
La creazione di questo worm ha indubbiamente richiesto sforzi non indifferenti sia in termini economici che temporali. Alcuni analisti hanno quantificato in diversi mesi di lavoro necessari e una spesa stimata di circa un milione di dollari.
Ma ciò che interessa realmente del processo di creazione di questo worm è la necessità di effettuare test ripetuti, su unità PLC cosi come su impianti simili a quelli da colpire: le centrifughe P1 per l’ arricchimento dell’uranio.
Non possiamo individuare con certezza sotto quale bandiera stuxnet sia nato ma, il suo obbiettivo era comune a molti: Stati Uniti, Israele, paesi NATO , e alcuni stati arabi.
Fra questi solo Israele e gli Stati Uniti dispongono delle capacità necessarie a porre in essere un’ operazione di questo genere.
Il “know how” su come colpire le unità PLC potrebbe essere arrivato dagli Stati Uniti, dove in passato sono stati eseguiti numerosi studi, in collaborazione con Siemens, sugli apparati PLC. L’obbiettivo era proprio quello di individuare i punti deboli di questa tecnologia e conseguentemente elaborare strategie nazionali per la difesa degli impianti industriali da possibili attacchi di cyberwarfare.
La disponibilità delle centrifughe P1 potrebbe essere arrivata dagli stessi Stati Uniti o da Israele. Gli Stati Uniti dispongono delle centrifughe P1 da alcuni anni, sembrerebbe fornite dalla Libia del colonnello Gheddafi. Fra il 2003 e il 2004 il leader libico rinunciò, in accordo con gli Stati Uniti, ad ogni programma per lo sviluppo di armamenti di distruzione di massa.
L’invio delle centrifughe P1 libiche, agli Stati Uniti, sarebbe stato parte di questo accordo.
Anche Israele dispone di centrifughe P1, ottenute a seguito di operazioni d’ intelligence, e mantenute nella centrale nucleare di Dimona nel Negev.
Oltre alla partecipazione di questi due stati, quasi sicuramente si è aggiunto l’aiuto, più o meno diretto, di soggetti terzi di provenienza europea.
Sono notevoli ulteriori caratteristiche di Stuxnet: la capacità di analizzare l’impianto da colpire, le sue caratteriste tecniche, il suo funzionamento, nonché trasmettere queste informazioni via rete attuando quindi anche un’operazione di spionaggio industriale, così come la sua capacità di aggiornarsi dinamicamente e modificarsi a seconda dell’impianto che si trova a dover colpire.
Proprio questo aspetto lascia credere che in futuro questo worm colpirà di nuovo e in maniera differentemente da come ha colpito in passato. Probabilmente compromettendo altre fasi del processo di arricchimento dell’uranio o altri apparati presenti nelle centrali nucleari iraniane.
Recentemente i tecnici russi, che come noto collaborano al programma nucleare iraniano, avrebbero fortemente consigliato e ottenuto che il reattore nucleare dell’impianto di Bushehr non venisse messo in funzione. La causa di questa richiesta sarebbe una globale situazione di insicurezza informatica ed elettronica, anche a seguito del caso Stuxnet, che potrebbe lasciare spazio a gravi incidenti.
Attualmente non è ancora quantificabile il rallentamento provocato al programma nucleare iraniano, da questo attacco di cyberwarfare. Molto probabilmente però, queste problematiche daranno spazio a nuove iniziative diplomatiche.
Questo articolo è coperto da ©Copyright, per cui ne è vietata la riproduzione parziale o integrale. Per maggiori informazioni sull'informativa in relazione al diritto d'autore del sito visita Questa pagina.