Questa tipologia di malware, e in generale gli APT, dovrebbero essere considerati pericolosi al pari delle convenzionali armi da guerra. E gli obiettivi non sono solo le infrastrutture IT
Per comprendere quale sia stata l’evoluzione che ha portato a un tale livello di pericolosità, bisogna fare un passo indietro, a circa nove anni fa: siamo nel 2010 e la crisi tra Iran e il mondo occidentale sta montando a livelli preoccupanti. La questione è relativa al programma nucleare iraniano e all’arricchimento dell’uranio. A dispetto delle forti critiche provenienti in generale dai paesi della NATO, la Repubblica Islamica dell’Iran è intenzionata ad avere la bomba atomica e sta aumentando in maniera esponenziale il proprio know-how acquisendo competenze, risorse e materie prime.
È l’estate del 2010 e l’allora Presidente americano G. W. Bush, in accordo con il primo ministro israeliano Netanyahu, decide che un intervento militare su Natanz in Iran avrebbe generato un’escalation di violenza nell’intera regione e dà quindi il via all’operazione Olympic Games, che porta alla creazione di Stuxnet, il più complesso malware mai realizzato nella storia dell’informatica. Rispetto alle centinaia di righe di codice che costituiscono mediamente un comune malware, Stuxnet ne conta decine di migliaia. È un malware modulare, estremamente complesso, capace di diffondersi con molteplici tecniche: dove i comuni malware sfruttano al più una vulnerabilità di tipo zero day, Stuxnet ne conta ben quattro.
Ma la caratteristica più importante e che rende unico Stuxnet è la sua capacità di attaccare e compromettere particolari e specifici software, denominati SCADA, che supervisionano il funzionamento di determinate turbine; le stesse turbine che sono in funzione nelle centrali iraniane e che sono alla base del processo di arricchimento dell’uranio. Non si conoscono completamente tutti i dettagli dell’operazione Stuxnet e di come sia stato possibile contaminare il “paziente zero” all’interno delle reti segregate e ad alta sicurezza delle centrali iraniane; quello che si conosce è che le turbine hanno variato in maniera del tutto anomala e casuale la loro velocità di rotazione, generando nel tempo malfunzionamenti e rotture, andando a ritardare in modo sensibile il programma nucleare.
Benché l’operazione Stuxnet sia stata un successo e non abbia provocato alcuna vittima umana, successivamente ha generato quella rappresaglia, che viene attribuita all’Iran, e che viene oggi definita il più grande hack della storia: Shamoon. Questo malware, meglio noto come W32.DisTrack, è stato utilizzato per attaccare e paralizzare due delle più grandi aziende al mondo: la Saudi Aramco e la qatariota RasGas. Questo malware è stato responsabile della distruzione logica, attraverso corruzione del Master Boot Record, di non meno di trentamila computer appartenenti alla rete di Aramco, provocando danni all’intera economia, prima quella saudita e poi quella americana. Per rendere l’idea di quanto devastante sia stato questo malware, basti pensare che l’intera produzione mondiale di hard-disk non è stata in grado di soddisfare la richiesta di parti di ricambio della sola Aramco.
Tornando ai tempi più recenti, in Medio Oriente è stato recentemente ritrovato Trisis, un malware già scoperto nel 2017, specificamente modificato per attaccare i sistemi di controllo presenti nelle infrastrutture industriali critiche. In particolare, Trisis ha come obiettivo i sistemi Schneider Electric’s TRIconex Safety Instrumented System (SIS) da qui il suo nome. I sistemi SIS in generale hanno la responsabilità di supervisionare i processi produttivi industriali, azionando blocchi di emergenza quando le condizioni mettono a rischio la vita dei lavoratori. Per esempio, se la pressione di un gas sta aumentando in modo incontrollato e quindi pericoloso, il SIS procede al blocco di emergenza del processo in modo da far evacuare il personale. Stuxnet è stato il primo malware utilizzato per compiere un’azione tipicamente militare ma senza usare armi convenzionali. Sulla scia di Stuxnet, una nuova generazione di malware ha iniziato ad avere come obiettivo specifico le infrastrutture critiche del mondo industriale e purtroppo, con loro, anche la vita delle persone. Io queste le considero armi di grado militare a tutti gli effetti, e voi?
Mario Ciccarelli docente CLUSIT