Natanz, un paese nella provincia di Isfahan, in Iran: qui, l’attenzione della International Atomic Agency è rivolta verso la centrale di arricchimento dell’uranio. Nel corso di una ispezione condotta nel gennaio del 2010, un gruppo di investigatori della International Atomic Agency aveva scoperto che gli iraniani avevano installato migliaia di centrifughe all’interno della camera di arricchimento della centrale.
Questi macchinari erano in seguito stati rimossi per verifiche, oltre che prevenire il contrabbando di materiali radioattivi. Si è scoperto che e a distanza di pochi mesi l’Iran ne aveva già rimpiazzate 2mila. In circostanze normali, nel caso di difetti nei materiali o altri problemi, la centrale di Natanz avrebbe dovuto sostituire intorno al 10% delle sue 8mila 700 centrifughe, ovvero pressappoco 800 di queste. Le autorità Iraniane si erano poi rifiutate di spiegare la sostituzione di 2mila centrifughe.
La International Atomic Agency ha esclusivamente autorità sul controllo dell’uso di materiali radioattivi e non sul monitoraggio degli equipaggiamenti rimpiazzati. Era però chiaro che qualcosa aveva distrutto queste centrifughe. Fu appreso in seguito tramite un rapporto privato che un virus molto complesso e distruttivo aveva attaccato i computer della centrale, danneggiando il programma Iraniano di arricchimento nucleare con il fine di impedirne la capacità di produrre armi nucleari.
Esistono migliaia di virus informatici, ma tra tutti, questo è stato il primo a essere definito un’arma da guerra informatica. Il 17 giugno 2010, Sergey Ulasen, direttore del dipartimento software antivirus della società di sicurezza VirusBlokAda, con sede a Minks, in Bielorussia, ha dichiarato che apparentemente, infetti dal virus informatico, i computer del proprio cliente Iraniano erano stati riavviati ripetutamente. Il suo team aveva analizzato campioni del virus e scoperto che questo ricorreva ad un sistema di infezione e contagio definito “0-day” (giorno zero).
Il sistema “0-day vulnerabilities”, l’arma più efficace degli hacker, è una minaccia che sfrutta punti deboli dei computer che possono essere ignoti ad altri e persino ai loro programmatori. Laddove un 0-day riesce a penetrare un sistema di sicurezza, le informazioni vengono condivise tra gli hackers prima ancora che gli sviluppatori del sistema sotto attacco riescano a intervenire e proteggere gli utenti.
Lo “0-day vulnerabilities’” è un virus molto raro. Le aziende di software antivirus scoprono ogni anno migliaia di nuovi virus, ma appena una manciata di questi è di quel genere. In questo caso, il virus usa un flash drive infetto per trasferire i dati da un computer ad un altro. Il punto debole sta nei file Lnk di Windows Explorer di Microsoft. Una volta connessa la Usb al computer, Explorer scansiona automaticamente il suo contenuto In questo processo il codice malevolo si scarica silenziosamente in un file criptato. Microsoft si sta ora adoperando per rilasciare delle patch.
In occasione di una comunicazione ufficiale sul Security Forum, VirusBlokAda ha rivelato che il virus era stato rilasciato la prima volta nel 2009, e da li in avanti era stato migliorato e modificato per un totale di tre versioni, la terza delle quali era stata rilasciata nell’aprile del 2010. Una versione di questo virus presentava certificati digitali originali della Realtek Semiconductor Corp. di Taiwan e di un’altra azienda di chip, la JMicron Technology. I quartier generali di queste due aziende si trovano nello Hsinchu Science Park.
Nessuno sa come degli hacker possano aver rubato i certificati originali delle due aziende. Gli unici indizi rivelano che dev’essersi trattato di un hacker estremamente abile e munito di grandi risorse. Un gruppo di esperti ha inoltre determinato che l’obiettivo dell’attacco da parte di un virus Struxnet era il sistema di controllo “Step7” dell’azienda Tedesca Siemens, un sistema con molteplici applicazioni, dall’industria alimentare a quella automobilistica, e dalle stazioni petrolifere a quelle per il trattamento dell’acqua. Questo genere di PLC (Programmable Logic Controller) viene ampiamente utilizzato per controllare una varietà di motori, valvole e interruttori.
Lo “Step7” è un software industriale di controllo che si basa su un modello di Windows. Generalmente, questi sistemi non sono soggetti ad attacchi perché non comportano particolari ritorni economici per gli hackers. Lo Struxnet viene utilizzato per operazioni di spionaggio industriale, furto di configurazioni e parametri di sistemi al fine di appropriarsi dei processi produttivi di aziende competitrici.
Symantec, una delle più grandi società di sicurezza informatica al mondo, ha analizzato Stuxnet con lo scopo di identificare una impronta digitale da aggiungere al database del software antivirus per incrementare la sicurezza nei computer dei propri clienti. Nel collaudo delle misure di sicurezze, i programmi contenenti 0-day necessitano di particolari attenzioni perché rappresentano l’ignoto per i ricercatori. Presto, il numero di programmi affetti da 0-day dovrebbe superare quota 100mila. L’impronta di Stuxnet nel database virus sta ancora accelerando la propria diffusione. L’analisi della distribuzione nazionale su computer infetti ha mostrato inaspettatamente che la maggior parte di questi si trova in Iraq ed Iran (tra 22mila e 38mila macchine infette), seguiti da Indonesia (6mila 700), India (3mila 700) e Stati Uniti (meno di 400). Sorge spontaneo associare la sua particolare propagazione a origini militari.
Esistono ora tre nuovi modelli di 0-day vulnerability. Oltre al Lnk vulnerability, Stuxnet è stato trovato nei file delle stampanti Windows, nei file di configurazione delle tastiere e nei programmi di controllo delle priorità d’accesso ai sistemi dei computer.
Stuxnet, oltretutto, ricorre alla codifica hardware del software Step7 per accedere ai database infetti e propagarsi a quelli di altri computer connessi ai server. Stuxnet non ricorre ad internet, bensì si diffonde attraverso la Lan locale. Lo strumento principale di infezione è la connessione Usb. I ricercatori della Symantec hanno identificato i nomi di dominio e il tabulato dei tempi nei campioni di virus, e questo ha permesso loro di rintracciare il punto di partenza del primo attacco al sistema. Hanno scoperto che in questo genere di casi l’hacker aveva attaccato i computer di cinque istituzioni in Iran. Gli attacchi erano stati lanciati nei mesi di marzo, aprile, maggio, giugno e luglio 2010. Da allora Microsoft ha rilasciato delle “patch” per porvi rimedio.
I ricercatori hanno scoperto che il 24 luglio di quest’anno potrebbe essere il giorno in cui Stuxnet verrà terminato. Quando Stuxnet infetta una macchina, ne controlla l’orologio interno, ed una volta superato un tempo prestabilito dall’hacker smette di operare. Si ritiene che Stuxnet concluderà i propri attacchi entro questo periodo.
Il manager del dipartimento Symantec Security Emergency Response Operations, Liam Moore, ha rilasciato una analisi approfondita di Stuxnet. Stando a Moore, Stuxnet si sarebbe rivelato molto più complesso del previsto. Gli ‘0-day’ vengono nascosti da molteplici strati di camuffamento. La capacità del software stesso è alquanto grande, con 500kb rispetto ai 10-15k del programma malevolo vero e proprio.
I ricercatori della Symantec hanno scoperto che laddove il virus infetta una macchina, acquisisce due nomi di dominio, mypremierfutbol.com e todaysfutbol.com. Symantec ha condiviso queste informazioni con altre aziende di sicurezza informatica e in appena una settimana sono stati controllati 38,000 computer. Ralph Langner, un esperto in sicurezza dei sistemi di controllo industriali, ha scoperto come Stuxnet fosse stato concepito per compiere attacchi mirati alle centrali nucleari Iraniane. L’interesse verso Stuxnet nacque quando notò che nei sistemi della Siemens, uno dei suoi clienti, presentavano delle anomalie. Dopo tre settimane di ricerca meticolosa, Langner ed il suo team giunsero alla conclusione che Stuxnet non era stato sviluppato per modelli specifici dei software Siemens. All’interno del suo codice si trovavano infatti le specifiche dettagliate della centrale che aveva subito l’attacco. Il virus è quindi innocuo verso quei sistemi che non rispondono a queste specifiche. Secondo Langner, Stuxnet sarebbe stato sviluppato con l’ausilio di dettagliate informazioni interne all’obiettivo prescelto che sarebbero state fornite da individui ricchi di informazioni riservate dall’interno del governo.
Secondo Langner, gli attacchi alla centrale di arricchimento dell’uranio di Natanz e alle turbine della centrale nucleare di Buschehr, sono stati perpetrati dalle stesse persone. Nel frattempo, i ricercatori della Symantec hanno scoperto che Stuxnet attacca il software che regola la velocità di rotazione di motori e rotori nei macchinari adoperati per operazioni di perforazione, tagli di metalli o macinazione, che richiedono un preciso controllo della velocità delle varie parti in movimento. Una ulteriore scoperta ha lasciato i ricercatori alquanto perplessi. Secondo i dati relativi ai comandi di controllo ricavati da Stuxnet, la frequenza delle centrifughe che erano state attaccate nella centrale andava dagli 807 ai 1210 Hz (nonostante il limite imposto a 600 Hz per limitare l’esportazione di macchinari che potrebbero essere utilizzati per arricchire l’uranio oltre valori destinati ad applicazioni industriali).
Una volta identificato il bersaglio, Stuxnet avrebbe eseguito delle azioni di ricognizione per le prime due settimane, per poi dar via all’attacco vero e proprio. Nell’arco di 15 minuti, il sistema avrebbe portato la frequenza delle centrifughe a 1410 Hz, per poi tornare ad una frequenza di 1064 Hz. Dopo 27 giorni, una nuova direttiva avrebbe imposto la decelerazione delle centrifughe fino a 2 Hz. Dopo altri 27 giorni, il sistema sarebbe ripartito con la prima tipologia di attacco. Gli sbalzi estremi nella frequenza degli invertitori hanno cosi compromesso l’integrità delle centrifughe
L’organizzazione di Xisalixi per l’energia atomica dell’Iran (AliAkbar Salehi), ha riconosciuto l’attacco informatico alle proprie centrali nucleari, asserendo però che l’intervento tempestivo dello staff tecnico avrebbe limitato i danni. L’ex ispettore armi delle nazioni Unite, David Albright, ha confermato che, nonostante l’attacco condotto da Stuxnet, gli impianti della centrale di arricchimento di Natanz non sarebbero state danneggiate a sufficienza da rallentare il programma di arricchimento dell’Iran, e la “National Interpersonal Intelligence Agency”(*) sostiene che l’Iran potrebbe a breve essere in grado di produrre armi nucleari.
Nuovi dati confermerebbero la teoria di Langner secondo cui Stuxnet farebbe parte di una operazione di politica globale. Sebbene preoccupato, il ricercatore ha deciso di esporre le proprie scoperte al pubblico per garantire la sicurezza internazionale.
(*) Così come tradotta dal Cinese , non si riesce a definire quale sia questa agenzia.