Stuxnet, obbiettivo Iran.

di Lorenzo Adorni, lorenzoadorni.com

Stuxnet è un worm diffufosi negli scorsi mesi, estremamente sofisticato e in grado di diffondersi, aggiornarsi, colpire impianti industriali e scomparire.
Un’arma creata per un’operazione di cyberwarfare condotta magistralmente. Analizzare il suo funzionamento ci aiuterà a comprendere i suoi obbiettivi e i relativi danni causati.Questo worm è scritto con diversi linguaggi di programmazione (fra cui C, C++ e MC7), conseguentemente al fatto che è stato creato per attaccare sistemi differenti in momenti diversi. Inizialmente si diffonde, principalmente attraverso le reti e rimovibili usb, infettando i computer attraverso vulnerabilità del sistema operativo. Successivamente si  indirizza alla ricerca di unità PLC, particolari apparati,collegabili ai computer, per la gestione di impianti industriali.

Qui Stuxnet dimostra tutta la sua sofisticatezza, operando in condizioni e con capacità raramente viste prima d’ora. Effettua ricerche molto selettive, si interessa solo di modelli specifici di PLC, prodotti dalla Siemens, gli S7 300 e 400.  Qualora trovati e identificati, ricerca ulteriormente solo i modelli di una specifica sottoserie. Se individuati compie  ulteriori verifiche, interessandosi solo dei PLC regolati con particolari configurazioni e valori specifici.
Stuxnet svolge quindi un’azione assolutamente mirata, verso obbiettivi altamente selezionati. Solo se si verificano  tutte queste condizioni descritte interviene, modificando le impostazioni del PLC secondo le proprie volontà.

Da questo momento in poi sarà Stuxnet a controllare l’impianto industriale collegato al PLC. Procede anche ad “infettare” i programmi software utilizzati per la gestione dei PLC, compromettendoli in maniera radicale: tutte le operazione fra computer e PLC passeranno, all’insaputa del personale utente, fra le “mani” di Stuxnet. Ogni qual volta  il personale si collegherà al PLC, Stuxnet sarà in grado di “mascherare” i valori reali restituendo solo i vecchi valori,  presenti prima della “contaminazione”.

In questo modo le modifiche apportate da Stuxnet, alle unità PLC, non saranno mai visibili. L’impianto industriale  collegato al PLC funzionerà quindi in maniera alterata, e in casi specifici, senza che nessuno possa accorgersene. Stuxnet, cosi come ha degli obbiettivi notevolmente selezionati, è anche stato diffuso in modo assolutamente mirato,  prevalentemente in Iran.

Studiando i valori che questo worm ricerca e modifica nei PLC è stato identificato il suo reale obbiettivo: le  centrifughe per l’ arricchimento dell’uranio installate nelle centrali nucleari iraniane. I valori ricercati da Stuxnet,  corrispondono a quelli delle normali velocità dei rotori delle centrifughe P1 installate in Iran. I valori che Stuxnet va  d inserire, differentemente, alteravano il funzionamento dei rotori modificando la velocità di rotazione delle  centrifughe.  Imprimendo brevi accelerazioni oltre i limiti, alternate a forti decelerazioni, in spazi di tempo ridottissimi (sembrerebbe inferiori al secondo). Le centrifughe hanno quindi funzionato, probabilmente per mesi, logorandosi lentamente, senza che nessuno potesse identificare la presenza del problema con chiarezza. Nella centrale di Nantaz , secondo i rapporti dell’ IAEA, i processi di arricchimento dell’uranio hanno subito forti rallentamenti dovuti all’arresto di alcune centrifughe. Secondo altre fonti di intelligence, l’impianto sarebbe stato chiuso per una settimana, ed ancora oggi opererebbe in modalità ridotta.

Stuxnet ha quindi raggiunto il suo risultato.
La creazione di questo worm ha indubbiamente richiesto sforzi non indifferenti in termini di tempo e denaro. Alcuni analisti hanno parlato di diversi mesi e circa un milione di dollari. Ma ciò che ha caratterizzato il suo processo di creazione è la necessità di effettuare test ripetuti, non solo su unità PLC ma, anche su impianti industriali simili a quelli da danneggiare. Sono notevoli ulteriori due caratteristiche di Stuxnet: la sua capacità di aggiornarsi dinamicamente e modificarsi a seconda dell’impianto che si trova di fronte, così come la sua capacità di analizzare l’impianto, le sue caratteriste tecniche e trasmettere queste informazioni via rete. Verso chi?

Probabilmente verso chi lo ha creato, un team di tecnici militari. Estremamente sofisticato, intelligente e dinamico,  con un unico preciso fine: rallentare i processi di arricchimento dell’uranio in Iran. Non possiamo dire con certezza  sotto quale bandiera sia nato, probabilmente anche con l’aiuto indiretto e più o meno consapevole di soggetti terzi  ma, il suo obbiettivo era comune a molti: Stati Uniti, Israele, paesi NATO , e alcuni stati arabi.

Fra questi solo Israele e Stati Uniti dispongono delle capacità necessarie per porre in essere un operazione di questo genere.

Lorenzo Adorni, lorenzoadorni.com

aldo giannuli, cyberwarfare, iran, israele, lorenzo adorni, nato, stati uniti, stuxnet


Aldo Giannuli

Aldo Giannuli

Storico, è il promotore di questo, che da blog, tenta di diventare sito. Seguitemi su Twitter o su Facebook.

Comments (3)

  • questo spiega perché ci sono dei virus che apparentemente non fanno niente.
    Io ho comperato dei componenti per Delphi (pascal), la fattura mi è arrivata da Israele. La tecnologia per guidare con gli occhi l’ha sviluppata Irsaele.

  • Sarebbe interessante sapere come e quando si sono accorti del virus informatico e delle sue raffinate caratteristiche.

    Dato che hanno utilizzato tecnologia Siemens, presumo che l’impresa tedesca abbia fornito una qualche assistenza.

    Mi domando se, oltre ai tedeschi, vi e’ stata l’assistenza di tecnici di altre nazioni.

    Comunque, grazie.

  • Gent. Caruto,

    Esistono rapporti Siemens per quanto riguarda il funzionamento del worm stuxnet, come questo interviene sui PLC e i metodi per porre rimedio a questo “problema”.
    Allo stesso modo esistono studi e analisi effettuati da numerosi produttori di software antivirus.
    Recentemente anche il New York Times si è occupato della vicenda, con un ampio dossier.
    In Italia E’ stata ripresa anche dal Tg1 e dal suo inviato in Israele il dott. Claudio Pagliara, oltre che da alcuni giornali.
    In pochi però si sono addentrati nell’analisi del worm. In pratica si sono “passati la notizia” per sentito dire.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.