Stuxnet: le prime vittime

Le prime cinque vittime di Stuxnet sono state selezionate accuratamente dai cybercriminali per portare a termine un attacco a Natanz.

Stuxnet

Un anno fa, la storia del worm Stuxnet è stata oggetto di notizia su tutti i giornali e ha creato molto scompiglio nel settore. Chi lo abbia creato e perché resta ancora un mistero, anche se i “rumors” parlano di una collaborazione tra intelligence americana e israeliana con il fine di sabotare il programma nucleare iraniano. Si tratta di un’ipotesi piuttosto plausibile: il malware serviva per sabotare la centrifuga della centrale per l’arricchimento dell’uranio, incidente che avrebbe fatto fare molti passi indietro al programma nucleare iraniano.

I creatori di Stuxnet sono riusciti a compromettere dei dispositivi protetti e non connessi e ad eseguire un sabotaggio su larga scala. Successivamente, a quanto dicono alcuni esperti, si è perso il controllo sul worm e ha iniziato a diffondersi per conto proprio; ciò non ha comportato danni visibili a PC per la casa o per l’ufficio, dal momento che, almeno inizialmente, aveva come obiettivo solo alcuni sistemi industriali di un certo tipo.

Le prime vittime o vittime zero

Kim Zetter, giornalista statunitense,  lo scorso 11 novembre ha pubblicato il libro “Countdown to Zero Day e approfittiamo di questa occasione per parlare in maniera più approfondita dell’argomento, analizzando alcuni aspetti presenti nel libro e poco conosciuti al grande pubblico. Non ci soffermeremo molto sullo sviluppo del worm nel primo periodo, ma parleremo soprattutto delle iterazioni che hanno scatenato tutta una serie di casi di infezione nel periodo 2009-2010.

Riprodurre l’infezione era piuttosto semplice per via di una caratteristica del malware: esso mantiene un resoconto dei dispositivi compromessi, compresi nome, nome di dominio e indirizzo IP. Questi dati vengono continuamente aggiornati e, grazie a questa particolarità, è possibile risalire all’originale.

Symantec, che nel febbraio 2011 ha pubblicato il dossier “W32 Stuxnet”, è arrivata alla conclusione che la diffusione del malware è partita da cinque aziende (due sono state attaccate due volte, una nel 2009 e una nel 2010). Kaspersky Lab è riuscita a risalire a queste aziende grazie all’analisi di 2.000 file in un arco di tempo di due anni.

Dominio A

La prima iterazione di Stuxnet 2009 (chiamata anche Stuxnet.a) è stata creata il 22 giugno dell’anno in questione. Poche ore dopo la compilazione, il malware aveva già infettato un PC del dominio ISIE. È improbabile, quindi, che i cybercriminali abbiano utilizzato un dispositivo USB e soprattutto sarebbe stato molto difficile, in un lasso di tempo così breve, introdurre il malware nell’azienda colpita.

Riprodurre l’infezione era piuttosto semplice per via di una caratteristica del malware: esso mantiene un resoconto dei dispositivi compromessi, compresi nome, nome di dominio e indirizzo IP.

Non riuscivamo a identificare l’azienda colpita, nonostante i dati fossero piuttosto allarmanti. Tuttavia, avevamo sospetti concreti che si trattasse di Foolad Technic Engineering Co (FIECO), azienda iraniana produttrice di sistemi automatizzati per l’industria pesante.

Oltre a sabotare la centrifuga della centrale, Stuxnet era caratterizzato da un modulo spyware, per questo FIECO poteva essere un buon obiettivo. Probabilmente i cybercriminali hanno pensato potesse essere una scorciatoia per arrivare al vero obiettivo e dal quale si potevano compromettere dati importanti che riguardavano l’industria nucleare iraniana. Nel 2010, l’azienda è stata attaccata nuovamente dalla terza iterazione di Stuxnet.

Dominio B 

La seconda vittima è stata attaccata per ben tre volte: a giugno 2009 e poi a marzo e maggio 2010. Il secondo attacco ha scatenato l’epidemia globale Stuxnet 2010 (Stuxnet.b). Il dominio “Bepajooh” ha permesso di identificare immediatamente la vittima: si trattava dell’azienda “Behpajooh Co. Elec & Comp. Engineering“. È coinvolta anche nell’automazione industriale e per questo è collegata a molte altre aziende.

Nel 2006, il giornale Khaleej Times con sede a Dubai affermava che un’azienda locale era coinvolta nell’invio illegale a Iran di componenti nucleari; l’azienda che avrebbe ricevuto queste componenti era “Bejpajooh INC”, con sede a Isfahan.

Il 24 aprile 2010, Stuxnet è passato dal dominio Behpajooh al dominio MSCCO. La candidata più probabile era l’azienda metallurgica iraniana Mabarakeh Steel Company (MSC). L’azienda utilizza numerosi PC e ha connessioni con molte aziende di tutto il mondo. Stuxnet, con tante opportunità a disposizione, è stata in grado di scatenare una vera e propria epidemia globale: nell’estate del 2010, il worm ha raggiunto aziende in Russia e Bielorussia.

Domini C, D ed E

Il 7 luglio 2009, Stuxnet ha infettato il PC “appserver” del dominio NEDA. In questo caso, non abbiamo avuto alcun problema a identificare la vittima: si trattava di Neda Industrial Group. Dal 2008, l’azienda è nella lista nera del Ministero della Giustizia statunitense ed è accusata di esportazione illegale di sostanze proibite in Iran.

Oltre a Neda, un’altra organizzazione è stata infettata. Dopo un tempo prolungato di analisi, ci siamo resi conto che si trattava di un’altra del settore con sede in Iran, la Control-Gostar Jahed Company. Qui si è fermata la diffusione del malware, nonostante l’azienda avesse un buon portafoglio clienti e avesse una grande portata.

L’ultima “vittima zero” va considerata per il grande numero di dispositivi infettati: l’11 maggio 2010, Stuxnet è uscita a entrare in tre computer del dominio “KALA”. Stiamo parlando di Kala Electric o anche Kalaye Electric Co. L’azienda è considerata la maggiore produttrice di centrifughe per l’arricchimento di uranio IR-1B e uno dei pilastri del programma nucleare iraniano. Strano non sia stata la prima a essere attaccata.

Conclusioni

Nonostante un vettore così sofisticato (non è facile sabotare una centrifuga di una centrale nucleare), Stuxnet si è diffuso con metodi piuttosto primitivi. Poi c’è stato un momento in cui la situazione è andata fuori controllo e si è fermata, altrimenti sarebbe davvero difficile quantificare i danni di un’epidemia che si è estesa ben oltre gli obiettivi originari.

Si è trattato di un malware piuttosto produttivo: i suoi creatori hanno eseguito la più grande operazione a livello mondiale, segnando una nuova era nel campo delle armi cibernetiche.

Prima di Stuxnet, nessuno ha pensato di mettere al sicuro le infrastrutture industriali; si sa che un metodo efficace è isolare completamente le apparecchiature dalle reti globali. Con la manomissione di dispositivi non connessi, i creatori del worm hanno inaugurato una nuova era per l’Information Security.  L’importanza di Stuxnet può essere comparata solo a quella di Great Worm, chiamato anche Worm Morris, che risale al 1988.

Consigli