Il futuro della guerra potrebbe essere appena iniziato, ma invece di essere annunciato da un’esplosione, è iniziato senza un rumore o una sola vittima.
È il primo del suo genere e potrebbe essere un segnale del modo in cui verranno combattute tutte le guerre d’ora in poi. Si tratta di un'arma informatica così precisa che può distruggere un bersaglio in modo più efficace di un esplosivo convenzionale e poi semplicemente autodistruggersi, lasciando le vittime a incolpare se stesse. È un’arma così terribile che potrebbe plausibilmente fare qualcosa di più che semplicemente danneggiare oggetti fisici, potrebbe uccidere le idee. Si tratta del worm Stuxnet, definito da molti la prima vera arma di guerra informatica al mondo, e il suo primo obiettivo è stato l’Iran.
Video consigliati
Gli albori della guerra cibernetica
Stuxnet sembra quasi uscito da un romanzo di Tom Clancy. Invece di inviare missili per distruggere una centrale nucleare che minaccia l’intera regione e il mondo, ed è supervisionata da un presidente che ha affermato che gli piacerebbe vedere un'intera razza umana “cancellata dalla mappa”, potrebbe essere introdotto un semplice virus informatico che farà il lavoro molto di più effettivamente. Attaccare una struttura con i missili può portare alla guerra e inoltre gli edifici possono essere ricostruiti. Ma infettare un sistema in modo così completo da far sì che le persone che lo utilizzano inizino a dubitare della propria fiducia nelle proprie capacità avrà effetti a lungo termine molto più devastanti.
In un raro momento di apertura da parte dell’Iran, la nazione ha fatto confermato che il malware Stuxnet (il nome deriva da parole chiave sepolte nel codice), scoperto originariamente a luglio, ha danneggiato le ambizioni nucleari del paese. Sebbene l’Iran stia minimizzando l’incidente, alcuni rapporti suggeriscono che il worm fosse così efficace che potrebbe aver ritardato di diversi anni il programma nucleare iraniano.
Invece di infettare semplicemente un sistema e distruggere tutto ciò che tocca, Stuxnet è molto più sofisticato di così, e anche molto più efficace.
Il verme è intelligente e adattabile. Quando entra in un nuovo sistema, rimane inattivo e apprende il sistema di sicurezza del computer. Una volta che può operare senza dare allarme, cerca obiettivi molto specifici e inizia ad attaccare determinati sistemi. Invece di distruggere semplicemente i suoi obiettivi, fa qualcosa di molto più efficace: li inganna.
In un programma di arricchimento nucleare, una centrifuga è uno strumento fondamentale necessario per raffinare l'uranio. Ogni centrifuga costruita segue la stessa meccanica di base, ma il produttore tedesco Siemens offre quella che molti considerano la migliore del settore. Stuxnet ha cercato i controller Siemens e ha preso il controllo del modo in cui gira la centrifuga. Ma invece di forzare semplicemente le macchine a girare fino a distruggersi da sole – cosa che il worm era più che capace di fare – Stuxnet ha apportato modifiche subdole e molto più subdole alle macchine.
Quando un campione di uranio veniva inserito in una centrifuga infetta da Stuxnet per il raffinamento, il virus comandava alla macchina di girare più velocemente di quanto fosse stata progettata, per poi fermarsi improvvisamente. Il risultato furono migliaia di macchine che si usurarono anni prima del previsto e, cosa più importante, campioni rovinati. Ma il vero trucco del virus era che mentre sabotava i macchinari, falsificava le letture e faceva sembrare che tutto funzionasse entro i parametri previsti.
Dopo mesi così, le centrifughe hanno cominciato a consumarsi e a rompersi, ma le letture erano ferme sembrava rientrare nella norma, gli scienziati associati al progetto iniziarono a ripensarci loro stessi. Gli agenti di sicurezza iraniani iniziarono a indagare sui fallimenti e il personale degli impianti nucleari viveva sotto una nuvola di paura e sospetto. La cosa andò avanti per più di un anno. Se il virus fosse riuscito a evitare completamente il rilevamento, alla fine si sarebbe cancellato del tutto e avrebbe lasciato gli iraniani a chiedersi cosa stessero facendo di sbagliato.
Per 17 mesi, il virus è riuscito a farsi strada silenziosamente nei sistemi iraniani, distruggendo lentamente campioni vitali e danneggiando le attrezzature necessarie. Forse più del danno ai macchinari e ai campioni fu il caos in cui fu gettato il programma.
Gli iraniani ammettono a malincuore parte del danno
Il presidente iraniano Mahmoud Ahmadinejad lo ha fatto reclamato che Stuxnet “è riuscito a creare problemi per un numero limitato delle nostre centrifughe”, il che è un cambiamento da La precedente affermazione dell’Iran secondo cui il worm aveva infettato 30.000 computer, ma non aveva colpito il nucleare strutture. Alcuni rapporti suggerire presso l'impianto di Natanz, che ospita i programmi di arricchimento iraniani, 5.084 delle 8.856 centrifughe in uso presso l'impianto nucleare iraniano gli impianti sono stati messi fuori servizio, probabilmente a causa di danni, e l'impianto è stato costretto a chiudere almeno due volte a causa degli effetti del virus.
Stuxnet ha preso di mira anche la turbina a vapore di fabbricazione russa che alimenta l’impianto di Bushehr, ma sembra che il virus sia stato scoperto prima che si potesse fare qualsiasi danno reale. Se il virus non fosse stato scoperto, alla fine avrebbe aumentato i giri delle turbine e avrebbe causato danni irreparabili all’intera centrale elettrica. Anche i sistemi di temperatura e raffreddamento sono stati identificati come obiettivi, ma i risultati del worm su questi sistemi non sono chiari.
La scoperta del verme
Nel giugno di quest'anno VirusBlokAda, specialista antivirus con sede in Bielorussia, ha trovato sul computer di un cliente iraniano un programma malware precedentemente sconosciuto. Dopo aver effettuato delle ricerche, l'azienda antivirus ha scoperto che era specificamente progettato per prendere di mira Siemens SCADA (controllo di supervisione e acquisizione dati), che sono dispositivi utilizzati su larga scala produzione. Il primo indizio che c'era qualcosa di diverso in questo worm era che, una volta lanciato l'allarme, ogni L'azienda che ha tentato di dare l'allarme è stata successivamente aggredita e costretta a chiudere per almeno 24 ore ore. Le modalità e le ragioni degli attacchi sono ancora un mistero.
Una volta scoperto il virus, aziende come Symantec e Kaspersky, due delle più grandi società di antivirus al mondo, nonché diverse agenzie di intelligence, hanno iniziato a ricercare Stuxnet e hanno trovato risultati che hanno subito reso evidente che non si trattava di un normale malware.
Alla fine di settembre Symantec aveva scoperto che quasi il 60% di tutti i computer infettati nel mondo si trovavano in Iran. Una volta scoperto ciò, divenne sempre più evidente che il virus non era stato progettato semplicemente per causare problemi, come lo sono molti malware, ma aveva uno scopo molto specifico e a bersaglio. Anche il livello di sofisticazione era ben al di sopra di qualsiasi cosa vista prima, spingendo Ralph Langner, l'esperto di sicurezza informatica che per primo scoprì il virus, a dichiarare che fu “come l’arrivo di un F-35 su un campo di battaglia della Prima Guerra Mondiale”.
Come ha funzionato
Stuxnet prende di mira specificamente i sistemi operativi Windows 7, che è, non a caso, lo stesso sistema operativo utilizzato nella centrale nucleare iraniana. Il worm utilizza quattro attacchi zero-day e prende di mira specificamente il software SCADA WinCC/PCS 7 di Siemens. Una minaccia zero-day è una vulnerabilità sconosciuta o non annunciata dal produttore. Si tratta generalmente di vulnerabilità critiche per il sistema e, una volta scoperte, vengono immediatamente risolte. In questo caso, i due elementi zero-day erano stati scoperti ed erano vicini al rilascio di una correzione, ma altri due non erano mai stati scoperti da nessuno. Una volta entrato nel sistema, il worm ha iniziato a sfruttare altri sistemi nella rete locale presa di mira.
Mentre Stuxnet si faceva strada attraverso i sistemi iraniani, la sicurezza del sistema ha dovuto presentare un certificato legittimo. Il malware presentava poi due certificati autentici, uno del produttore di circuiti JMicron e l'altro del produttore di hardware Realtek. Entrambe le società hanno sede a Taiwan, a pochi isolati di distanza l'una dall'altra, ed è stato confermato che entrambi i certificati sono stati rubati. Questi certificati autentici sono uno dei motivi per cui il worm è riuscito a rimanere nascosto per così tanto tempo.
Il malware aveva anche la capacità di comunicare tramite condivisione peer-to-peer quando era presente una connessione Internet, cosa che gli permetteva di aggiornarsi se necessario e di riferire i suoi progressi. I server con cui Stuxnet comunicava si trovavano in Danimarca e Malesia ed entrambi furono chiusi una volta confermato che il worm era entrato nella struttura di Natanz.
Quando Stuxnet iniziò a diffondersi nei sistemi iraniani, cominciò a prendere di mira solo i “convertitori di frequenza” responsabili delle centrifughe. Utilizzando azionamenti a frequenza variabile come indicatori, il worm ha cercato specificamente gli azionamenti di due fornitori: Vacon, che ha sede in Finlandia, e Fararo Paya, che ha sede in Iran. Quindi monitora le frequenze specificate e attacca solo se un sistema funziona tra 807 Hz e 1210 Hz, una frequenza abbastanza rara frequenza che spiega come il worm possa colpire in modo così specifico gli impianti nucleari iraniani nonostante si sia diffuso in tutto il mondo. Stuxnet inizia quindi a modificare la frequenza di uscita, che influisce sui motori collegati. Sebbene almeno altri 15 sistemi Siemens abbiano segnalato l’infezione, nessuno ha subito danni a causa del worm.
Per raggiungere prima l’impianto nucleare, il worm doveva essere introdotto nel sistema, possibilmente su una chiavetta USB. L’Iran utilizza un sistema di sicurezza “air gap”, il che significa che la struttura non ha connessione a Internet. Ciò potrebbe spiegare perché il worm si è diffuso così lontano, poiché l’unico modo per infettare il sistema è prendere di mira un’area vasta e agire come un Trojan in attesa che un impiegato nucleare iraniano riceva un file infetto fuori dall'impianto e lo porti fisicamente all'interno pianta. Per questo motivo sarà quasi impossibile sapere esattamente dove e quando è iniziata l’infezione, poiché potrebbe essere stata portata da diversi dipendenti ignari.
Ma da dove viene e chi lo ha sviluppato?
I sospetti sull’origine del worm sono dilaganti e il singolo sospettato più probabile è Israele. Dopo aver effettuato ricerche approfondite sul virus, Kaspersky Labs annunciato che il livello dell’attacco e la sofisticatezza con cui è stato eseguito avrebbero potuto essere effettuati solo “con il supporto dello stato nazionale”, il che esclude l’hacker privato gruppi, o anche gruppi più grandi, che utilizzano l'hacking come mezzo per raggiungere un fine, come la mafia russa, sospettata di aver creato un worm trojan responsabile di rubare $ 1 milione da una banca britannica.
Israele ammette pienamente di considerare la guerra cibernetica un pilastro della sua dottrina di difesa, e il gruppo noto come Unit 8200, un Le forze di difesa israeliane, considerate l’equivalente approssimativo della NSA degli Stati Uniti, sarebbero il gruppo più probabile responsabile.
L'Unità 8200 è la divisione più grande delle forze di difesa israeliane, eppure la maggior parte delle sue operazioni sono sconosciute: anche l'identità del generale di brigata responsabile dell'unità è segreta. Tra i suoi tanti exploit, uno rapporto afferma che durante un attacco aereo israeliano su un presunto impianto nucleare siriano nel 2007, l'Unità 8200 ha attivato un cyber kill switch segreto che ha disattivato ampie sezioni del radar siriano.
Per dare ulteriore credito a questa teoria, nel 2009, Israele ha posticipato al 2014 la data in cui si aspetta che l’Iran disponga di armi nucleari rudimentali. Ciò potrebbe essere stato il risultato della notizia di problemi, o potrebbe suggerire che Israele sapesse qualcosa che nessun altro sapeva.
Anche gli Stati Uniti sono uno dei principali sospettati e, nel maggio di quest’anno, l’Iran ha affermato di averlo fatto arrestato Si sostiene che 30 persone siano state coinvolte nell’aiutare gli Stati Uniti a condurre una “guerra informatica” contro l’Iran. L'Iran ha anche affermato che l'amministrazione Bush ha finanziato un piano da 400 milioni di dollari per destabilizzare l'Iran utilizzando attacchi informatici. L’Iran ha affermato che l’amministrazione Obama ha portato avanti lo stesso piano e ha addirittura accelerato alcuni progetti. I critici hanno affermato che le affermazioni dell’Iran sono semplicemente una scusa per eliminare gli “indesiderabili” e gli arresti sono uno dei tanti punti di contesa tra Iran e Stati Uniti.
Ma man mano che il virus continua a essere studiato e emergono sempre più risposte sulla sua funzione, si sollevano sempre più misteri sulle sue origini.
Secondo Microsoft, il virus avrebbe richiesto almeno 10.000 ore di codifica e avrebbe richiesto a un team di cinque o più persone almeno sei mesi di lavoro dedicato. Molti ora ipotizzano che ciò richiederebbe gli sforzi congiunti delle comunità di intelligence di diverse nazioni che lavorano tutte insieme per creare il worm. Anche se gli israeliani potrebbero avere la determinazione e i tecnici, alcuni sostengono che per codificare il malware sarebbe necessario il livello tecnologico degli Stati Uniti. Conoscere l’esatta natura dei macchinari Siemens nella misura in cui lo ha fatto Stuxnet potrebbe far pensare al tedesco coinvolgimento, e i russi potrebbero essere stati coinvolti nel dettagliare le specifiche dei macchinari russi usato. Il worm è stato progettato per operare su frequenze che coinvolgono componenti finlandesi, il che suggerisce che anche la Finlandia, e forse la NATO, siano coinvolte. Ma ci sono ancora altri misteri.
Il worm non è stato individuato a causa delle sue azioni negli impianti nucleari iraniani, bensì a causa della diffusa infezione di Stuxnet. Il nucleo centrale dell’impianto nucleare iraniano si trova in profondità nel sottosuolo ed è completamente tagliato fuori da Internet. Affinché il worm possa infettare il sistema, è necessario che sia stato introdotto sul computer o su una chiavetta USB di un membro dello staff. Basterebbe che un singolo dipendente portasse il lavoro a casa con sé, poi tornasse e inserisse qualcosa come innocuo come una chiavetta USB nel computer, e Stuxnet avrebbe iniziato la sua marcia silenziosa verso il macchinario specifico voleva.
Ma la domanda allora diventa: perché le persone responsabili del virus hanno sviluppato un’arma informatica così incredibilmente sofisticata e poi l’hanno rilasciata con quello che è probabilmente un metodo così sciatto? Se l’obiettivo fosse quello di non essere rilevato, il rilascio di un virus che ha la capacità di replicarsi alla velocità dimostrata sarebbe sciatto. Era una questione di quando, non se, il virus sarebbe stato scoperto.
La ragione più probabile è che agli sviluppatori semplicemente non importava. Per installare il malware con maggiore attenzione ci sarebbe voluto molto più tempo, e la trasmissione del worm nei sistemi specifici potrebbe richiedere molto più tempo. Se un paese è alla ricerca di risultati immediati per fermare quello che potrebbe vedere come un attacco imminente, la velocità potrebbe prevalere sulla cautela. La centrale nucleare iraniana è l’unico sistema infetto a segnalare danni reali da parte di Stuxnet, quindi il rischio per altri sistemi sembra essere minimo.
Quindi che succede adesso?
Siemens ha rilasciato uno strumento di rilevamento e rimozione per Stuxnet, ma l'Iran è fermo lottando per rimuovere completamente il malware. Ancora il 23 novembre l’impianto iraniano di Natanz era costretto per chiudere e sono previsti ulteriori ritardi. Alla fine, il programma nucleare dovrebbe essere di nuovo operativo.
In una storia separata, ma forse correlata, all’inizio di questa settimana due scienziati iraniani sono stati uccisi da attacchi bomba separati ma identici a Teheran, in Iran. In una conferenza stampa il giorno successivo, il presidente Ahmadinejad detto giornalisti che “Indubbiamente, la mano del regime sionista e dei governi occidentali è coinvolta nell’assassinio”.
Stamane, funzionari iraniani reclamato aver effettuato numerosi arresti nel corso degli attentati, e sebbene le identità dei sospettati non siano state rilasciate, il Ministro dell'Intelligence iraniano ha affermato: "Il tre agenzie di spionaggio del Mossad, CIA e MI6 hanno avuto un ruolo negli (attacchi) e, con l'arresto di queste persone, troveremo nuovi indizi per arrestare altre elementi,"
La combinazione degli attentati e dei danni causati dal virus Stuxnet dovrebbe pesare molto sui prossimi colloqui tra l’Iran e una confederazione di sei nazioni composta da Cina, Russia, Francia, Gran Bretagna, Germania e Stati Uniti il 6 dicembre e 7. I colloqui hanno lo scopo di continuare il dialogo sulle possibili ambizioni nucleari dell’Iran.
