Frutto di una collaborazione nata nel 2006 fra gli Stati Uniti e lo stato di Israele, esso era indirizzato ad interferire col programma nucleare iraniano.
La particolarità di Stuxnet era la sua capacità di danneggiare direttamente le strutture fisiche tramite USB infette. Il primo bersaglio del Virus è stato l'impianto di Natanz (senza accesso ad Internet, tra l'altro), poi si è diffuso anche su Internet.
Sappiamo che l'infezione di Stuxnet è partita da cinque fornitori iraniani, di cui uno produceva componenti facenti parte delle centrali che il Malware aveva messo nel mirino.
Stuxnet pesava solo 0,5 Mega, sufficienti però a contenere tutto il codice malevolo per la diffusione e l'inibizione dei sistemi che gli capitavano a tiro.
Come detto, la centrale di Natanz non era collegata ad internet, ma l'abilità di Stuxnet gli ha permesso di eludere la protezione attuata dal governo iraniano, consentendogli di colpire anche sistemi di controllo non in reti WAN. Questo perché esso si diffonde tramite una flash drive USB, che deve fisicamente essere inserita nel computer per avviare l'infezione.
Stuxnet mise a segno non uno, ma ben quattro exploit cosiddetti zero-day, cioè vulnerabilità non note alle società di sicurezza.
La diffusione al di fuori di quella centrale sembra essere cominciata nel 2010, quando una compagnia bielorussa specializzata nella rimozione di malware ricevette una richiesta di assistenza, che all'apparenza sembrava non troppo particolare: il cliente dichiarò che la propria macchina si riavviava di continuo e chiese alla società di cercare di capire il perché.
Dopo le prime analisi, si scoprì che il virus aveva una firma certificata che gli consentiva di superare i controlli del sistema operativo senza troppi problemi. Il malware era proprio Stuxnet.
FLAME
Il precursore di Stuxnet è Flame, seppur fosse decisamente più grosso (20 Megabyte).
Anche questo sembrava essere stato sponsorizzato dal governo di una qualche nazione.
Flame non era però designato per distruggere impianti ma era semplicemente stato diffuso per spiare persone. Anch'esso si diffonde con la stessa metodologia di Stuxnet per l'infezione, e cioè a mezzo di chiavette USB contagiate e di reti di stampa.
Nonostante potesse sfruttare drive e l'interfaccia USB, Flame operò in un'altra maniera: esso era in grado di spacciarsi per un update di Windows 7, grazie a un falso certificato di autenticità, celando così la sua natura agli utenti.
Ad ogni modo, una volta che Flame bypassava le difese di un computer, esso faceva delle ricerche con keyword specifiche atte a trovare determinate informazioni in specifici documenti, il tutto senza essere scovato. I dati venivano inviati a poco a poco e non tutti in una volta, così che l'amministratore di sistema non potesse rilevare un utilizzo anomalo della banda di rete.
Un'altra delle caratteristiche distintive di Flame era quella di comunicare e di scambiare file con i dispositivi Bluetooth vicini.
GAUSS
Kaspersky creò un software per cercare algoritmi simili a quelli di Flame, che semplicemente tentava di individuare il suo codice ma su altre piattaforme oltre a quella Windows.
E' così che fu scoperto Gauss, un'altra variante di Stuxnet.
I suoi scopi erano legati alla sorveglianza di sospettati di cybercrimini, e poteva rubare password e file vari. Anch'esso era in grado di diffondersi tramite una chiavetta USB, come Flame e Stuxnet.
Quando un drive veniva inserito in un computer infettato da Gauss, esso prendeva tutte le informazioni dal dispositivo introdotto e le trasferiva al server designato alla raccolta (come una backdoor che comunica con l'attaccante).
Non appena Kaspersky mise in atto la stessa tecnica utilizzata con Flame, e cioè quella di deviare le informazioni presso i propri server e tentare di scovare il proprietario di quelli originali, i server di Gauss andarono offline.
Probabilmente i suoi autori avevano il sospetto che qualcuno fosse riuscito a smascherare le proprie intenzioni e, per non essere identificati, sono ricorsi al metodo più semplice ed immediato.
Gauss fu così bloccato.
DUQU
Questa è l'ennesima variante di Stuxnet, chiamata Duqu.
Principalmente si tratta di uno Spyware che sottrae dati sensibili tramite Keylogger.
Si diffonde tramite files jpg e si autodistrugge dopo 1 anno, non lasciando tracce.
SNAKE IN UCRAINA
Questo super Virus informatico, chiamato Snake, è stato scoperto in Ucraina.
Esso riesce a nascondersi molto bene e può restare inattivo anche per molti giorni, fino a che il “controllore” non decide di attivarlo.
Secondo le analisi esiste almeno dal 2010, ed è possibile collegarlo ad azioni criminali più che a scontri tra nazioni. In questo senso Snake si aggiunge a Stuxnet, Gauss e Flame.
Virus che possono rivelarsi davvero molto pericolosi proprio perché come armi digitali non c’è modo di controllarle. Una volta che sono in rete chiunque potrebbe prenderli e usarli a proprio vantaggio.
RAMNIT E CONFICKER ATTACCANO UNA CENTRALE NUCLEARE IN GERMANIA
Qualche mese fa alcuni dei sistemi informatici di un impianto di energia nucleare in Germania (che gestisce il combustibile) sono stati infettati da due famosi (e vecchi) Virus chiamati W32.Ramnit (collegato alla gigantesca Botnet Ramnit) e Conficker, scoperti per la prima volta nel 2010 e nel 2008, rispettivamente. I computer infettati controllavano “software di visualizzazione dati associati con gli strumenti per muovere le barre di combustibile nucleare” ed erano isolati da Internet.
I due Virus hanno effettivamente infettato i computer, ma non hanno potuto fare danni particolari perché non potevano entrare in contatto con i loro creatori via Internet, e i computer non avevano controllo su nessun processo critico.
Anche in questo caso sembra che la diffusione sia avvenuta tramite chiavette USB infettate.
Ma, se i sistemi di una centrale nucleare o qualsiasi altra infrastruttura critica sono così deboli da essere colpiti da Virus, sono potenzialmente attaccabili anche da chi ha intenzioni più sofisticate e potenzialmente dannose, come nel caso del recente blackout della centrale in Ucraina.
Il motivo per cui questi sistemi sono facilmente infettabili da vecchi Virus come W32.Ramnit e Conficker è perchè usano sistemi che non vengono aggiornati da almeno dieci anni.
Anche la centrale nucleare Ritka, distante 25 chilometri da Praga, è stata completamente mandata in tilt dai cracker (non si tratta di una centrale nucleare in senso stretto ma di un centro d'addestramento per far fronte a queste minacce). Per fronteggiare eventi di questo tipo, ma anche più gravi, l'israeliana Cybergym Europe ha organizzato un vero e proprio Centro di Addestramento, il primo europeo per reparti IT, attivi all'interno di infrastrutture a rischio. Sono in particolare i responsabili della gestione delle centrali nucleari che inviano i propri team nella Republica Ceca presso questa "residenza riservata", affinché possano prepararsi a sventare un attacco da parte di criminali informatici.
Per approfondire su alcune applicazioni tecnologiche inerenti la radioattività:
Nessun commento:
Posta un commento