Come già ampiamente previsto qualche mese fa, il worm Stuxnet si è trasformato nel nuovo “caso mediatico” capace di impensierire le società di sicurezza e sollevare polverone in seno alla stampa mainstream , generalmente poco accorta alla proliferazione di questo o quel pezzetto di codice malevolo. Ma Stuxnet fa molto, molto di più oltre a proliferare, e il malware ha tali e tante caratteristiche da far sorgere più di un dubbio sul fatto si tratti di un vero e proprio attacco organizzato contro il programma nucleare iraniano .
Ci sarebbe insomma il Mossad – i servizi segreti israeliani – dietro la realizzazione di un worm entrato in circolazione svariati mesi fa ma individuato dalla bielorussa VirusBlokAda solo a luglio. Il worm, dicono alcune società di sicurezza, rappresenterebbe uno dei primi casi concreti di cyberwar organizzata con lo scopo preordinato di fare danni molto reali.
Stuxnet è un pezzo di codice estremamente complesso e ripieno di caratteristiche avanzate, dicono gli esperti, un malware che è stato capace di sfruttare ben 4 falle 0 day di Windows, una delle quali ben nascosta all’interno dello spooler di stampa e nota pubblicamente da più di un anno . Il worm infetta le chiavette USB, gli hard disk ma è soprattutto progettato per instillare un vero e proprio rootkit – il primo della sua “specie”, suggerisce Symantec – nelle macchine di controllo dei processi industriali come quelle presenti nei comparti di produzione, nelle centrali energetiche/atomiche o sulle catene di montaggio.
Dotato di un meccanismo di comando e controllo centralizzato che in alternativa – come in effetti pare sia accaduto – può sopravvivere allo shutdown dei server malevoli impiegando un network di comunicazione peer to peer decentralizzato, Stuxnet è talmente complesso che security company ed esperti indipendenti sono sostanzialmente unanimi nell’assegnarne la paternità a uno stato organizzato dotato di fondi illimitati e forti motivazioni politico-militari.
L’obiettivo ultimo di Stuxnet appare il cyber-sabotaggio, suggerisce la security enterprise moscovita Kaspersky, un sabotaggio che potrebbe potenzialmente prendere la forma di turbine mandate fuori giri, esplosioni negli impianti industriali e malfunzionamenti più o meno disastrosi nelle centrali energetiche dotate di macchinari sviluppati dalla tedesca Siemens.
La paternità generalmente accettata del codice di Stuxnet è di matrice israeliana perché il paese dove si è registrato il maggior numero di infezioni è l’Iran. Il Mossad avrebbe in sostanza sviluppato il worm come un’arma sporca capace di sabotare il programma nucleare del paese. L’agenzia di stampa ufficiale (controllata dallo stato) conferma l’individuazione di 30mila indirizzi IP infetti , ma in accordo con i responsabili della centrale nucleare di Bushehr (l’obiettivo finale di Stuxnet?) tende a sottostimare l’impatto dell’attacco e rassicura: non c’è stato nessun danno rilevante e i sistemi che gestiscono il reattore sono al sicuro.
Alfonso Maruccia