Stuxnet

Immagine simbolica raffigurante Stuxnet

Uno dei sistemi attaccati dal worm, un Siemens Simatic S7-300

Stuxnet è un virus informatico creato e appositamente^[1][2] diffuso dal governo USA (nell'ambito dell'operazione "Giochi Olimpici" iniziata da Bush nel 2006 e che consisteva in un "ondata" di "attacchi digitali" contro l'Iran^[3]) in collaborazione col governo Israeliano nella centrale nucleare iraniana di Natanz, allo scopo di sabotare la centrifuga della centrale tramite l'esecuzione di specifici comandi da inviarsi all'hardware di controllo industriale responsabile della velocità di rotazione delle turbine allo scopo di danneggiarle.

Storia [modifica]

In seguito alla diffusione del virus nella centrale il programma si è diffuso al di fuori dallo stabilimento a causa di un errore di programmazione presente nel virus stesso,^[4] colpendo principalmente le aziende (e quindi in seguito le relative nazioni) da cui provenivano le attrezzature per il programma atomico iraniano^[5] venendo così scoperto e finendo poi sotto i riflettori dei media di tutto il mondo.

La caratteristica che ha colpito gli esperti fin dall'inizio fu il livello di sofisticazione di questo software, che dimostrava che chi aveva scritto il programma conosceva fin nei dettagli l'ambiente informatico in uso nelle centrali. Questo malware fra l'altro fa leva su quattro vulnerabilità di Windows ancora inedite (0-day)^[6] all'epoca, informazioni che, secondo alcuni^[7] specialisti del settore, varrebbero sul mercato nero almeno un quarto di milione di dollari ciascuna.

All'epoca della notizia di questo sabotaggio, sono cresciute le preoccupazioni per un'eventuale "Chernobyl iraniana".^[8]

Negli ultimi anni ci sono state altre cyber-armi selettive che sono state considerate delle varianti dell'originale Stuxnet, fra queste: Flame^[9] e Duqu.^[10]

Stuxnet è il primo worm che spia e riprogramma PC industriali. Infetta PC dotati di sistema operativo Windows e software WinCC e PCS 7. Il virus si propaga tramite penna USB o tramite rete, e si attiva alla semplice apertura in visione del dispositivo che lo contiene. È stato scoperto nel giugno del 2010 da VirusBlokAda, una società di sicurezza bielorussa.^[11]

La sua esistenza è stata segnalata a metà giugno 2010 dalla società VirusBlokAda, mentre l'inizio della sua progettazione è stato datato al giugno 2009.^[11][12] La società Symantec afferma che la maggior parte dei computer infetti si trovano in Iran: da qui le speculazioni in base alle quali l'obiettivo del virus potrebbero essere le centrali nucleari in costruzione nel paese asiatico.^[13]

Tale virus, definito anche arma informatica, ha già contagiato, oltre a numerosi computer iraniani, anche la Cina. L'Unione europea è intenzionata a creare una normativa ad hoc per contrastare il fenomeno.^[14]

Nel febbraio 2011 Anonymous ha "trafugato" delle e-mail alla HBGary, contractor del governo USA. Una di queste e-mail era datata 28 luglio 2010, proveniva dalla McAfee e forniva all'azienda una copia di Stuxnet^[15]. In seguito Crowdleaks ha decompilato parte di Stuxnet, il sorgente è ottenibile su github.com^[16].

Modalità di funzionamento [modifica]

L'attacco al sistema operativo prende di mira i programmi di monitoraggio e controllo industriale SCADA/WinCC e PCS 7.^[17][18][19]

La diffusione iniziale avviene tramite penna USB infetta per poi contaminare gli altri PC collegati alla rete WinCC. Dopo aver raggiunto l'ingresso del sistema, Stuxnet utilizza parole d'ordine di default per ottenerne il controllo: per questo il produttore Siemens consiglia di modificare la parola d'ordine originale.^[12][20]

La complessità di Stuxnet è insolita per un virus informatico in quanto l'attacco richiede la conoscenza dei processi industriali e punta a vulnerare infrastrutture produttive.^[21]

Vista la complessità del virus, per la sua realizzazione si sarebbe dovuto impiegare un team di programmatori di diverse discipline e la verifica di sistemi reali per evitare di bloccare il funzionamento del PLC. Secondo tecnici Siemens la creazione di questo malware avrebbe richiesto mesi, se non anni, di lavoro se eseguita da una sola persona.^[12]

Alias [modifica]

L'alias di stuxnet è: roj/Stuxnet-A, W32/Stuxnet-B, W32. Temphid, WORM_STUXNET.A, Win32/Stuxnet.B, Trojan-Dropper:W32/Stuxnet, W32/Stuxnet.A, Rootkit.Win32.Stuxnet.b, Rootkit.Win32.Stuxnet.a.exet^[22][23]

Eliminazione [modifica]

Percentuali di contaminazione del worm nel mondo (16 luglio 2010)

Siemens ha messo a disposizione uno strumento per il rilevamento e la rimozione degli Stuxnet. Richiede inoltre agli utenti di evitare l'utilizzo di penne USB non sicure all'interno della rete anche successivamente alla rimozione del virus.^[24]

Uno strumento gratuito per la rimozione di Stuxnet è messo a disposizione da BitDefender sul suo sito dedicato MalwareCity.com.^[25]

Diffusione [modifica]

Uno studio riguardante Stuxnet dell'azienda informatica Symantec ha dato un quadro della diffusione nel mondo (aggiornamento al 6 agosto 2010):^[26]

Paese	Computer infettati
Iran	62 867
Indonesia	13 336
India	6 552
Stati Uniti	2 913
Australia	2 436
Regno Unito	1 038
Malesia	1 013
Pakistan	993
Finlandia	7[27]
Germania	5 (settembre 2010)[28]

Note [modifica]

1. ^ Confirmed: US and Israel created Stuxnet, lost control of it Arstechnica, Giugno 2012
2. ^ Hacker-Attacken: US-Regierung schürt Furcht vor Cyber-Krieg Ogni giorno una terribile notizia, ogni giorno un'allerta: Il presidente degli Stati Uniti Barack Obama vede il rischio di una imponente guerra informatica. Ha esortato i cinesi a creare un piano di difesa e si consulta con i leader del settore pensando al peggio. Dietro l'allarmismo un puro calcolo politico. Der Spiegel 15.03.2013
3. ^ Barack Obama 'ordered Stuxnet cyber attack on Iran' President Barack Obama ordered the Stuxnet attack on Iran as part of a wave of cyber sabotage and espionage against the would-be nuclear power, according to a new book citing senior Washington sources. The Telegraph 01.06.2012
4. ^ Obama Order Sped Up Wave of Cyberattacks Against Iran, By DAVID E. SANGER Published: June 1, 2012 New York Times
5. ^ Stuxnet is a directed attack -- 'hack of the century'
6. ^ Il virus Stuxnet: Il worm che è venuto dal nulla 2. Chi ha scritto Stuxnet? -- Der Spiegel 22.09.2010
7. ^ Why Stuxnet Is Special
8. ^ Stuxnet: Angst vor einem zweiten Tschernobyl Stuxnet agisce. Il virus informatico che ha infestato gli stabilimenti nucleari iraniani, potrebbe avere altre conseguenze oltre al precedentemente noto sabotaggio. Alcuni esperti temono un incidente atomico ad alto impatto, lo scenario peggiore, quando gli impianti "contagiati" torneranno ad essere connessi in rete e mettono in guardia sui persistenti attacchi in corso.
9. ^ Computervirus Flame: Anatomie eines Hightech-Schädlings
10. ^ Risiko für Industrieanlagen: Neuer Stuxnet-Virus erschreckt Sicherheitsprofis
11. ^ ^{a b} Gregg Keizer. (EN) Is Stuxnet the 'best' malware ever?. Infoworld, 16 settembre 2010. URL consultato in data 16 settembre 2010.
12. ^ ^{a b c} Steven Cherry, with Ralph Langner. (EN) How Stuxnet Is Rewriting the Cyberterrorism Playbook. IEEE Spectrum, 13 ottobre 2010
13. ^ (EN) Iran was prime target of SCADA worm
14. ^ Stuxnet: Commissione UE vuole varare normativa comune contro cyberattacchi
15. ^ HBGary wanted to suppress Stuxnet research Crowdleaks, 13 febbraio 2011
16. ^ Codice sorgente. github.com
17. ^ (EN) Michael Joseph Gross (aprile 2011). A Declaration of Cyber-War. Vanity Fair. URL consultato in data 4 marzo 2011.
18. ^ Ralph Langner. (EN) Ralph's Step-By-Step Guide to Get a Crack at Stuxnet Traffic and Behaviour. 14 settembre2010. URL consultato in data 4 marzo 2011.
19. ^ Nicolas Falliere. (EN) Stuxnet Infection of Step 7 Projects. Symantec, 26 settembre 2010
20. ^ (EN) Stuxnet Under the Microscope. ESET, January 2011. URL consultato in data agosto 2012.
21. ^ Steven Cherry, with Larry Constantine. (EN) Sons of Stuxnet. IEEE Spectrum, 14 dicembre 2011
22. ^ (EN) Lista degli alias su Microsoft.com
23. ^ (EN) Lista degli alias su norman.com
24. ^ (EN) Pagina del sito della Siemens con tool e istruzioni di rimozione del virus
25. ^ (EN) MalwareCity Tool di Rimozione Stuxnet
26. ^ (EN) Factbox: What is Stuxnet?, Reuters, 24 settembre 2010. URL consultato in data 30 settembre 2010.
27. ^ cert-fi. (FI) Stuxnetista havaintoja myös suomalaisissa verkoissa. CERT-FI, 1º ottobre 2010. URL consultato in data 14 ottobre 2010.
28. ^ crve. (EN) Stuxnet also found at industrial plants in Germany. The H, 17 settembre 2010. URL consultato in data 18 settembre 2010.

Bibliografia [modifica]

• Sabato, Giovanni (gennaio 2011). Cyberguerra contro l'atomica - Un virus informatico ha danneggiato un impianto del programma nucleare iraniano. Le Scienze (509): 23. ISSN 0036-8083.

Altri progetti [modifica]

• Commons contiene immagini o altri file su Stuxnet

Collegamenti esterni [modifica]

• Siemens su Stuxnet.
• Informazioni su Stuxnet dal sito della Microsoft.
• Analisi sulla sicurezza.
• Analisi dell'infezione ai sistemi di controllo industriale di Stuxnet recensita sul sito della Symantec.
• Parte del codice sorgente di Stuxnet in seguito a decompilazione

Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica