Stuxnet è una famiglia di worm recentemente assurta alle cronache per la sua capacità di sfruttare la vulnerabilità 2286198 dei sistemi operativi Windows, una falla che può essere usata per mandare in esecuzione ogni genere di libreria DLL o codice malevolo. Ma Stuxnet è anche l’ultima moda in fatto di allarmismo e (in)sicurezza online, una minaccia recente che si candida a ripercorrere le gesta del famigerato Conficker sui mass media di mezzo mondo.
La falla abusata da Stuxnet è un difetto strutturale nella visualizzazione delle icone dei file .lnk (comunemente noti come “scorciatoie” e abbondanti sui desktop di qualsiasi utente di software Microsoft), e al momento BigM dice di non essere intenzionata a rilasciare patch di emergenza prima del tradizionale “Patch Thursday” del mese prossimo.
Nel frattempo Stuxnet si diffonde sui siti di informazione e nei blog con la velocità tipica di un worm quale appunto è il malware: l’obiettivo esclusivo della minaccia sono i sistemi SCADA prodotti da Siemens Simatic (WinCC) per la gestione di strutture critiche – impianti industriali, piattaforme petrolifere, raffinerie e altre utility socialmente rilevanti.
Obiettivo del worm sembra essere quello di rubare informazioni sull’impianto infetto (schematiche e informazioni sulla produzione) e trasferirle in remoto, e per raggiungere il suo scopo il malware associa la vulnerabilità dei file.lnk alla funzionalità di autorun propria dei dispositivi di storage USB.
Un’altra, importante caratteristica distintiva di Stuxnet è il fatto che il worm può fare il suo sporco lavoro perché il software di Siemens implementa un sistema di protezione a dir poco originale , in cui il database è protetto da una password non modificabile entrata nel pubblico dominio già da due anni.
A complicare ulteriormente la situazione e a far si che Stuxnet si prepari a trasformarsi nel “nuovo caso Conficker” nel giro di pochi giorni, la falla abusata da malware non verrà corretta da alcuna patch nell’ancora popolarissimo OS Windows XP SP2 per scadenza del periodo di supporto. Si prevedono allarmanti bollettini messianici – con tanto di impianti industriali che saltano in aria – sulle frequenze nazionalpopolari più seguite.
Alfonso Maruccia