VoIP and Hacking | Consulenza Documentazione

Dopo aver fatto la sua clamorosa comparsa nel luglio 2010 e dopo essere passato piuttosto velocemente nel dimenticatoio collettivo, Stuxnet ha ripreso a sollevare allarmi e speculazioni. Ricordiamo brevemente di cosa si tratta;
Stuxnet è stato concepito e di conseguenza programmato per attaccare una determinata classe di sistemi Siemens su piattaforma Windows normalmente utilizzati in processi di controllo industriale, in pratica quei sistemi che fanno funzionare acquedotti, centrali telefoniche, elettriche e nucleari, reti fognarie, ferroviarie e aeree, condotti petroliferi, e pure centrali nucleari, ovvero i recentemente divenuti famosi sistemi SCADA (Supervisory Control And Data Acquisition).
Dopo aver infettato un computer, il worm Stuxnet effettua dei tentativi di connessione HTTP in uscita a mypremierfutbol.com e todaysfutbol.com.

Quanto avviene poi è condizionato da due fattori.

1. I sistemi SCADA non sono, generalmente, connessi a Internet, pertanto solo quei sistemi infetti che hanno una connessione diretta permetteranno al worm di tentare una connessione in uscita.
2. In secondo luogo, i sistemi infettabili, sono quelli che non presentano una protezione antivirus aggiornata. Inoltre, Siemens ha rilasciato da tempo una patch correttiva.

La diffusione del worm avviene inizialmente tramite una comune penna USB infetta, che una volta inserita contamina il PC locale e poi tenta di contaminare gli altri PC collegati alla rete.
Una volta installato nel sistema, Stuxnet utilizza un set di parole d’ordine di default per cercare di ottenerne il controllo.
La complessità di Stuxnet è piuttosto insolita per un virus informatico, in quanto presuppone la conoscenza dei processi industriali.
Questa particolare caratteristica ha da subito avvalorato l’ipotesi per cui all’origine del malware ci sarebbe un governo o un gruppo privato ben finanziato

Stuxnet comunque non si è accontentato di avere messo in crisi i sistemi SCADA iraniani, infatti il codice malevolo ha esteso il proprio raggio d’azione e ha fatto capolino in altre grandi nazioni, ad esempio in Cina, dove sarebbero milioni i sistemi infetti inclusi 1.000 impianti industriali. Secondo Symantec sono oltre 40000 gli IPs unici infettati, distribuiti tra circa 120 nazioni.

Occorre tuttavia precisare che l’Iran resta il paese sin qui più colpito dalla epidemia con i suoi 30mila indirizzi IP infetti, fatto che assieme all’individuazione del worm sui sistemi computerizzati della centrale nucleare di Bushehr ha evocato l’ipotesi per cui l’obiettivo finale del worm fossero proprio l’Iran e i suoi programmi nucleari: programmi che la repubblica degli Ayatollah continua a definire di interesse civile e non militare come invece afferma Israele, in ciò sostenuto dai propri tradizionali alleati occidentali.

Sul fronte interno iraniano, secondo le autorità tutto sembra essere tornato sotto controllo (del resto, al contrario di altre nazioni, come, che coincidenza! l’Italia, dove conta in misura molto maggiore, la dipendenza da quei sistemi per l’Iran è del 5%). In ogni caso, la circostanza ha fornito l’occasione per l’arresto di un numero non meglio specificato di spie “nemiche”, presunte responsabili della diffusione di Stuxnet.

Ma a fornire lo spunto per far tornare Stuxnet alla ribalta sono stati altri fattori.
Analisi più approfondite del codice del worm hanno rilevato ciò che poi altri hanno interpretato come richiami apparentemente voluti a testi biblici ed eventi storici della storia ebraica, novità che ha, di fatto, rafforzato l’ipotesi per cui Stuxnet sarebbe opera del Mossad israeliano, e scatenato una ridda di deliri interpretativi degni della peggior puntata di Vojager, ma tra i quali vale la pena di menzionare:

• Il percorso del file di b:Myrtussrcobjfre_w2k_x86i386guava.pdb (in realtà il solo componente “Myrtus”) è una allusione al libro di Esther del Vecchio Testamento. Il libro racconta la storia di un complotto dei Persiani ai danni degli Ebrei, che invece attaccarono i loro nemici, anticipandoli. Essendo il nome originale di Esther, Hadassah, che è simile al termine ebreo per “mirto”, ecco la connessione logica!

• Il valore “19790509″ incluso in una linea di codice potrebbe riferirsi alla data del 9 Maggio 1979, data in cui Habib Elghanian, un importante uomo d’affari ebreo persiano, fu giustiziato a Teheran e che dette inizio ad un esodo di massa degli Ebrei dalla Repubblica Islamica.

Ultimo, ma ancora più demenziale:

• Il worm Stuxnet include una data di disattivazione. Questa data è il 24 giugno 2012. Astrologicamente (calendario Maja), il 24 giugno 2012 è la data presunta del ritorno di Kukulkan, che porterà a 3 anni di cambiamenti epocali (2012-2015).

Personalmente ritengo che queste siano solo baggianate. Basta fare su Google una ricerca per valori simili a quelli prima citati (ovviamente escludendo i risultati più recenti, che vi condurrebbero inevitabilmente a Stuxnet), per trovare riferimenti ad argomenti qualsiasi.
Inoltre penso che i tecnici del Mossad siano troppo professionali per indulgere ai simbolismi. Tracce simili, se non sono inventate di sana pianta dai detectives, molto spesso sono introdotte per sviarne le indagini.

Analizzandone il comportamento come strumento di cyberwar, se indubbiamente la capacità distruttiva di Stuxnet è devastante, l’ efficacia ne risulta fortemente compromessa dalla lentezza e casualità dei vettori di propagazione, mentre un attacco destinato a bloccare i punti nevralgici di una nazione avrebbe senso solo in corrispondenza di un contemporaneo attacco militare, pertanto dovrebbe essere temporalmente programmabile nella sua intensità.
Sarebbe come se fra qualche anno, la Padania scatenasse un attacco contro i sistemi SCADA della Terronia, rea di non accettare più la munnezza degli impianti celtici, bloccando così il traffico sulla Salerno-Reggio e sulla tangenziale di Napoli, ma senza approfittare della confusione provocata e mandare all’attacco milioni di partite iva con elmo e corna di plastica.

Terminata l’escursione politico-goliardica, c’è ancora da dire che di un’arma come Stuxnet sarebbe indubbiamente facile perdere il controllo, esponendosi facilmente ad una auto-infezione e comunque inevitabilmente ad una ritorsione dello stesso tipo. Che senso avrebbe mai diffondere nel campo avversario una epidemia versò la quale si sia costituzionalmente più vulnerabili del nemico?

Sembra più che altro un test di cyberwar dall’esito non troppo convincente, o anche una simulazione di attacco in realtà attuata dalle stesse presunte vittime (l’utilizzo dei due C&C server di calcistica memoria non indirizzano forse i sospetti verso Ahmadinejad, noto appassionato del pallone?).

Send post as PDF to