Chi ha spento la luce?

Giovanni D’Amato sorrise, accavallò le gambe, si poggiò le mani in grembo poi sollevò un singolo sopracciglio. Dal lato opposto del tavolo della sala riunioni, Leonardo Artico si stava torturando il sopracciglio destro.
“A cosa debbo l’onore di questa visita?”

L’uomo dei servizi si era presentato nell’ufficio di Leo all’improvviso e, considerando i precedenti, non si trattava di una circostanza normale, ma, in fondo, di normale non c’era mai stato nulla tra loro, anche nei momenti in cui avevano lavorato insieme.
“Ho bisogno del tuo aiuto.” Il tono di D’amato era completamente privo di qualsiasi sfumatura. Neppure una traccia della vaga ironia che era da sempre il suo marchio di fabbrica.

“The Cyrcus?” Azzardò Artico, nominando la loro prima e ultima impresa comune.

“No. Da quelle parti tutto procede come previsto. Si tratta di qualcosa che arriva da un passato leggermente più remoto. Risale al periodo in cui abbiamo rischiato di incontrarci la prima volta. Ricordi?”
La mascella di Leo si contrasse e gli occhi si strinsero fino a trasformarsi in due fessure.

“Vedo che non hai dimenticato.”

Era trascorsi esattamente quindici mesi e di quel periodo Artico non avrebbe potuto scordarsi per il resto dei suoi giorni. Per un istante l’emozione minacciò di fargli perdere il controllo, ma si riprese in fretta, perché il riferimento gli aveva fornito un indizio sufficiente a scoprire la ragione dell’improvvisata

“Come potrei… In ogni caso sei venuto da me per Industroyer o CrashOverride se preferisci il suo nome alternativo.”
D’Amato rise di gusto: “Non puoi immaginare quanto mi sia dispiaciuto che tu abbia voluto porre fine al nostro sodalizio. Sei capace di darmi sempre delle soddisfazioni. In ogni caso sono certo che nessuno è addentro a questo tema quanto te, quindi mi servono informazioni dall’uomo che credo lo abbia incontrato ancora prima che il mondo sapesse della sua esistenza. Si tratta di sicurezza nazionale, ma lo sai perfettamente.”

“Non credo sia la stessa cosa.” rispose Artico in un sospiro. “Di certo ci sono pezzi di codice uguali, forse scambiati su qualche mercato nero o reperiti chissà dove, ma sono ragionevolmente sicuro che sono soltanto simili, ma non uguali.” Almeno lo sperava.

“Ti dispiacerebbe fornirmi qualche dettaglio in più. Devo capire. Nella mia esperienza si tratta dell’arma più vicina alla bomba atomica che sia mai apparsa sulla faccia della terra. Stiamo parlando delle reti elettriche e se controlli quelle, metti in ginocchio un paese senza sparare un colpo, anzi nemmeno ti devi alzare dalla poltrona.”

“Ti dirò tutto quello che so.” Mentì con decisione.

Leonardo Artico, allontanò la poltroncina dal tavolo, incrociò le dita portandole all’altezza del mento e raccontò.

Da sempre sono assillato dall’Internet delle Cose, ma soprattutto dal suo impatto su alcuni particolari sistemi e ogni volta che ci penso non posso fare a meno di ricordare la celebre frase di Einstein: “Non so con quali armi verrà combattuta la Terza guerra mondiale, ma la Quarta verrà combattuta con mazze e pietre”. Quello che vuoi sapere riguarda semplicemente una delle possibili apocalissi: un attacco informatico alla rete elettrica e ai relativi impianti. Sul fatto che i sistemi industriali come SCADA e ICS fossero vulnerabili lo avevano insegnato al mondo la CIA e i servizi segreti israeliani già dieci anni orsono, quando scatenarono Stuxnet per sabotare il programma nucleare iraniano, colpendo la centrale di Natanz. Il malware era in grado di infiltrarsi nei PLC, componenti programmabili, destinati a controllare i processi industriali e nel caso specifico comprometteva il corretto funzionamento delle centrifughe e, contemporaneamente, falsificava i dati che ricevevano gli operatori facendo apparire una situazione di normalità. Si ipotizza che il virus raggiunse il suo bersaglio attraverso una chiavetta USB infetta, inopinatamente utilizzata da un operatore della centrale. La seconda pietra miliare la piazzava nel dicembre 2015 un gruppo hacker probabilmente legato ai russi e denominato Sandworm. Questa volta si trattava di Black Energy. In realtà quello era semplicemente il nome del vettore, perché il lavoro di spegnere tre centrali elettriche, lasciando al buio 80 mila utenti per sei ore lo fece una variante di KillDisk, altro virus nell’occasione modificato appositamente per colpire i sistemi industriali di controllo. La prova c’è il mese successivo quando lo stesso Black Energy veicola un altro pernicioso malware che manda in tilt il sistema di controllo dei voli del principale aeroporto ucraino. Altro brutto segnale arriva a metà 2016 dalla Germania, dove il gestore di una centrale nucleare annunciava che erano state rilevate infezioni multiple di malware su chiavette USB e computer dell’impianto di Gundremmingen a 120 chilometri da Monaco. I dispositivi erano risultati infetti da due virus: W32.Ramnit, noto fin dal 2010 e Conficker, una vera celebrità che risaliva al 2008. I due virus avevano potuto diffondersi a causa di un sistema non aggiornato dal 2008, in quanto doveva garantire il funzionamento di un vecchio software per la visualizzazione dei dati relativi a una apparecchiatura destinata alla movimentazione della barre di combustibile nucleare. Comunque tutto tranquillo perché il gestore dichiarava che tutti i dispositivi, non essendo connessi ai sistemi che assicuravano il funzionamento della centrale, non rappresentavano un rischio concreto per l’impianto. A dicembre 2016, manco si trattasse di festeggiare un anniversario, arrivaca la terza pietra miliare che produceva un blackout di un’ora e mezza in alcune zone di Kiev. I dettagli tecnici sono di poche settimane fa. Molto più complesso di Black Energy e ben più potente, segue la tendenza secondo cui questo tipo di arma deve essere altamente flessibile, può trasportare diversi tipi di carichi attivi; molto persistente, per nascondersi si attiva soltanto a orari predefiniti di solito concomitanti con le ore non lavorative e dispone di una backdoor di scorta che, in caso di scoperta del canale primario di comunicazione, si attiva e ripristina il collegamento con i suoi controllori; produrre i suoi effetti nocivi in modo automatico. Su questo tema mi soffermo un po’ più a lungo. Industroyer può essere installato sui sistemi attraverso un attacco di spear phishing, quindi una email fasulla mirata al personale in servizio, in modo che esegua il codice, oppure anche attraverso installazione diretta tramite un dispositivo USB. Non è chiaro se possa essere veicolato tramite vulnerabilità, tanto per darti un’idea come è stato per Wanna Cry che si è diffuso senza alcun intervento umano. Tuttavia penso sia possibile. Il secondo aspetto legato all’automatismo è la sua capacità di interagire direttamente con i protocolli di comunicazione industriali, quindi nel momento in cui è dentro non ha più necessità di ulteriori istruzioni. Se gli attaccanti sanno quali sono i sistemi industriali utilizzati possono confezionare il carico attivo prima di lanciarlo; poi tutto avviene in automatico. In definitiva un bel gingillo, anche se non ancora perfetto.

A questo punto è interessante porsi una domanda: “Chi ha spento la luce?” Diciamo che posso immaginare un paio di scenari. Nel primo sono semplici “manovre militari”. In definitiva se metti a punto delle nuove armi dovrai testarle in qualche modo. Ovviamente ci vuole qualche precauzione per evitare di fare più danni del necessario. Industroyer purtroppo non poteva proprio non fare almeno un piccolo disastro, visto che la componente da testare era proprio quella legata alla sua capacità di dialogare direttamente con il sistemi industriali. In definitiva tutto il resto, per quanto si possa rendere complesso, è tecnologia nota. Le backdoor e i canali di comunicazione nascosti sono ormai armi ampiamente verificate. Mi viene in mente la differenza con Ethernal Rocks, l’erede di Ethernal Blue che consentì a Wanna Cry di diffondersi. Questa volta, invece, da controllare c’era proprio il vettore e la sua funzionalità in assenza di quel benedetto kill swicth, che aveva bloccato l’infezione. Molti si stupirono come non veicolasse alcun tipo di minaccia, pur essendo decisamente più potente del suo predecessore. In realtà se si parla di “manovre militari” non è proprio il caso di scatenare un oggetto di cui rischi di perdere il controllo. Se devo testare l’invisibilità ai radar sul suolo nemico di un aereo da combattimento non è il caso sganci una bomba, visto che non intendo ancora scatenare una guerra. Esiste, però, un altro scenario in cui tutto si traduce in semplice marketing. Il mondo pullula di hacker o aspiranti tali: gente anche molto preparata che in qualche modo deve pur tirare a campare. Il mercato sta diventando sempre più competitivo e molti si chiedono come si può entrare in affari. Considerando che molte di queste attività sono illegali è importante avere un profilo piuttosto basso. Diciamo che non andrei a bussare alla porta della NSA con in mano un’arma informatica. Gente troppo sospettosa e poi il rischio è quello che si approprino di tutto e mi facciano sparire in qualche prigione federale con la scusa che sono un rischio per la sicurezza nazionale. Dunque, come si trova un ingaggio? Attraverso un’adeguata promozione. Fare arrivare il proprio lavoro nelle mani giuste, immaginiamo quelle delle aziende di sicurezza che analizzano malware e metodi di attacco. Questo non è difficile e appena avranno capito come funziona il nostro prodotto saranno ben liete di pubblicizzarlo al mondo intero. Se fatto bene lo descriveranno come molto interessante, se siamo fortunati non mancheranno iperbole (la più grande minaccia ai sistemi industriali mai apparsa sulla rete) e superlativi assoluti (pericolosissimo per tutte le infrastrutture critiche). Da qualche parte lasceremo piccole tracce, magari il nome di un gruppo hacker mai sentito prima, in modo che possano attribuire la paternità dell’oggetto. A questo punto siamo entrati sul mercato e un profilo Twitter, con qualche annuncio roboante ma non troppo, potrebbe essere un buon mezzo per essere contattati. Se siamo stati bravi di certo qualcuno cercherà di ingaggiarci. Che altro posso dirti… Tutto qui.

“Tutto molto interessante, ma dimentichi sempre che vivo tra bugie e mezze verità. Quindi sto aspettando che tu mi dica il resto.” D’Amato inclinò leggermente il capo, mentre sfoderava il più cupo dei suoi sorrisi.

“Non saprei cosa altro dirti. Ti garantisco che non ho mentito.”

“Assolutamente. Tutto quanto hai raccontato corrisponde a verità. La bugia è stata all’inizio quando hai sostenuto che avresti detto tutto quello che sapevi. Sai bene che poco più di un anno fa ti stavo cercando, quindi puoi immaginare che sono a conoscenza almeno di una parte della vicenda.”

“Ah!” Esclamò fingendo. “Nella storia a cui ti riferisci ho avuto un ruolo decisamente marginale. Come poi è chiaramente emerso fu un piccolo equivoco. Stavo semplicemente facendo il mio lavoro di consulente.”

“Leo, non posso obbligarti a dirmi alcunché, non fosse per la semplice ragione che sai troppe cose che ci riguardano, a partire da The Cyrcus, però mi sarei aspettato un po’ più di amor patrio.” D’Amato si era già alzato dalla poltroncina.

“Ti garantisco Giovanni che ti ho detto tutto.” Mentì con rinnovata convinzione.

“Va bene Leo, ma ci rivedremo.”

“Allora, arrivederci Giovanni.”

Artico fissava la porta che l’uomo dei servizi si era chiuso alle spalle. Forse aveva ragione e lui si stava sbagliando. La sicurezza nazionale poteva essere a rischio. Leo lo sapeva, ma quei giorni di marzo dell’anno passato celavano troppi segreti e troppe persone sarebbero finite nelle maglie della rete di D’Amato. Alcuni lo avrebbero meritato, ma altri proprio no. Certi nomi dovevano essere dimenticati: Socrate, Dialogs, il Cappellaio Matto e soprattutto lui… Il Bianconiglio.

Alessandro Curioni