Ritorno al passato giovedì: cosa è successo a Stuxnet?
Che cosa è successo a Stuxnet? Da quando ha distrutto centinaia di centrifughe in un impianto di arricchimento nucleare in Iran nel 2010, il verme è stato silenzioso, ma non inattivo.
Rispetto a molti dei suoi colleghi di malware, il worm Stuxnet ha avuto molto di più dei proverbiali 15 minuti di fama.
Con una buona ragione. Era un precedente. E ‘ stato uno dei pezzi più sofisticati di malware mai creato al momento. Kaspersky Lab ha stimato che ci sono voluti un team di 10 programmatori due o tre anni per crearlo.
Ha anche attraversato una linea. Invece di essere usato “semplicemente” per hackerare i computer e rubare i dati su di essi, è stato usato per causare la distruzione fisica.
Che cos’è Stuxnet?
Quando è diventato pubblico per la prima volta nel 2010, Stuxnet aveva permesso la distruzione di quasi un migliaio, o circa un quinto, delle centrifughe nell’impianto di arricchimento nucleare iraniano di Natanz, arretrando il programma nucleare di quella nazione di 18 mesi o più. Ovviamente, che è diventato notizie internazionali che è durato non solo mesi, ma anni.
Dopo aver aggirato in punta di piedi il problema dell’attribuzione per un po’, la maggior parte dei rapporti si è risolta nel dire che era “ampiamente accettato” che Stuxnet fosse un’arma informatica creata dalle agenzie di intelligence israeliane e statunitensi. Ci sono stati libri scritti su di esso, numerosi seminari condotti su di esso, e, naturalmente, accuse e minacce tra gli stati nazionali coinvolti.
Stuxnet era anche significativo perché gli aggressori hanno ottenuto il worm nei computer Natanz anche se i sistemi erano “air-gapped”—non connessi a Internet. Hanno ottenuto l’accesso utilizzando chiavette USB per piantare il malware sui sistemi di società terze che avevano una connessione al programma nucleare iraniano.
CORRELATI: E così è la sicurezza
Stuxnet era altamente mirato, progettato per eseguire la scansione solo per il software Siemens STEP 7 sui computer che controllano un PLC (programmable logic controller). Se uno dei due mancava, Stuxnet sarebbe andato dormiente all’interno del computer. Ma se entrambi fossero presenti, modificherebbe i codici e darebbe comandi dannosi al PLC mentre restituiva feedback che lo facevano sembrare tutto normale.
Questi comandi hanno causato la rotazione delle centrifughe fuori controllo e si distruggono prima che chiunque monitorasse il sistema sapesse che qualcosa non andava.
Secondo quanto riferito, Stuxnet non è mai stato destinato a diffondersi oltre Natanz. Tuttavia, il malware è finito sui computer connessi a Internet e ha iniziato a diffondersi in natura, grazie a un design estremamente sofisticato e aggressivo.
Cosa è successo da allora?
Dopo l’attacco di Natanz, Stuxnet sbiadito dai titoli regolari nel giro di un paio di anni, ma è tornato brevemente nel 2016, quando un rapporto di Microsoft Security Intelligence lo ha identificato tra le famiglie di malware exploit correlati rilevati nella seconda metà del 2015.
CORRELATI: 6 anni dopo, la vulnerabilità’ Stuxnet ‘ rimane sfruttata
È svanita di nuovo fino allo scorso novembre, quando Reuters, seguita da numerosi altri punti vendita, ha riportato una rivendicazione del capo della difesa civile iraniana che il governo della nazione aveva rilevato e fermato uno sforzo israeliano per infettare i sistemi informatici con quella che ha descritto come una nuova versione di Stuxnet.
Gholamreza Jalali, capo della National Passive Defense Organization (NPDO), ha dichiarato all’IRNA News service iraniano: “Recentemente, abbiamo scoperto una nuova generazione di Stuxnet che consisteva in diverse parti … e stava cercando di entrare nei nostri sistemi.”
Mohammad-Javad Azari Jahromi, ministro delle telecomunicazioni iraniano, ha accusato Israele di essere dietro l’attacco, dicendo che il malware era destinato a ” danneggiare le infrastrutture di comunicazione dell’Iran.”Ma ha detto che le “squadre tecniche vigili” del paese avevano bloccato l’attacco e che Israele era “tornato a mani vuote.”
Il Times of Israel ha riferito al momento che i funzionari iraniani avevano ammesso che stavano affrontando un attacco da ” un virus più violento, più avanzato e più sofisticato di prima, che ha colpito infrastrutture e reti strategiche.”
Qual è lo stato attuale di Stuxnet?
Qual è lo stato di Stuxnet ora? Mentre è stato in natura per anni, ciò non significa che chiunque possa usarlo per fare lo stesso tipo di danno.
Liam O’Murchu di Symantec, direttore del Security Technology and Response group, ha dichiarato alla rivista CSO nel 2017 che si trattava del codice più complesso che il team aveva esaminato ed era “in un campionato completamente diverso da qualsiasi cosa avessimo mai visto prima.”
Ha anche detto di non credere ai siti Web che affermavano di avere il codice Stuxnet disponibile per il download, dal momento che il codice sorgente per il worm non era stato rilasciato o trapelato e non può essere estratto dai binari che sono disponibili in natura.
Mentre il codice per un driver—una parte molto piccola del pacchetto complessivo—era stato ricostruito tramite reverse engineering, non è la stessa cosa che avere il codice originale.
Ancora, O’Murchu ha detto che i ricercatori potrebbero capire molto sul codice esaminando il binario in azione e reverse engineering esso. Ad esempio,” era abbastanza ovvio dalla prima volta che abbiamo analizzato questa app che stava cercando alcune apparecchiature Siemens”, ha detto.
E dopo tre o sei mesi di reverse engineering, “siamo stati in grado di determinare, direi, il 99% di tutto ciò che accade nel codice.”
Ma l’annuncio di novembre dall’Iran conferma ciò che sta accadendo a Stuxnet. Si sta evolvendo, come fanno la maggior parte delle famiglie di malware. Non è tanto che è tornato. È che non è mai andato via-e sarà quasi certamente di nuovo nei titoli dei giornali.
Scopri di più sulla sicurezza ICS