È stato un Luglio movimentato, per chi ricorderà bene, sotto l’aspetto sicurezza informatica. Una nuova falla di Windows viene scoperta. Falla “0day”, sconosciuta, causata da un bug del sistema operativo Windows che perdura da Windows 2000 a Windows 7, sia 32 che 64 bit. Avevo scritto già un articolo a riguardo, a questo link.

Come avvenne la scoperta? Purtroppo nel peggiore dei casi, di fronte all’ormai avvenuta diffusione: un malware isolato dalla società di sicurezza informatica russa VirusBlokAda Ltd. stava utilizzando questa falla per infettare dispositivi USB rimovibili ed auto eseguirsi non appena il dispositivo infetto veniva collegato ad un sistema operativo Windows. La società informò Microsoft e allertò le altre società di sicurezza. Cercando meglio nella mole di dati che arrivano ogni giorno nei database delle varie società di antivirus, si è scoperto che questo malware, successivamente denominato Stuxnet, aveva già almeno un’altra variante. Entrambe le varianti di Stuxnet erano firmate digitalmente. O, per meglio precisare, coloro che avevano scritto Stuxnet erano riusciti a rubare certificati digitali appartenenti a Realtek e JMicron. Certificati che sono stati poi utilizzati per firmare i malware.

Ad un’analisi più tecnica del malware venne fuori che il codice nocivo attaccava sistemi Windows nei quali erano installati i prodotti Simatic WinCC e PCS 7, soluzioni Siemens per sistemi SCADA (controllo di supervisione e acquisizione dati) utilizzati al fine di monitoraggio elettronico di sistemi industriali. Un perfetto caso di spionaggio industriale, visto che il malware era in grado di penetrare i database del software Siemens installato e rubare informazioni segrete, quali ad esempio file di progetti.

Gli elementi che si avevano in mano due mesi fa erano, dunque, i seguenti: una vulnerabilità 0day in Windows, due certificati digitali rubati a terze aziende, una piattaforma industriale presa di mira, una conoscenza approfondita di tali software Siemens. Infatti, riguardo quest’ultimo punto, bisogna specificare che il malware era in possesso di una password “universale” per entrare nei database del software Siemens.

Decisamente troppi elementi per pensare che si trattasse di un attacco partito da un pirata informatico annoiato. L’odore di spionaggio industriale è nell’aria.

Torniamo però ai giorni nostri visto che, dopo due mesi di ulteriori indagini, sono venute fuori altre informazioni che ci permettono di fantasticare ancora un po. Microsoft ci informa che, analizzando attentamente il codice di Stuxnet, sono venute fuori sorprese ben più sgradite di quelle che fossero arrivate fino ad ora.

Stuxnet non ha utilizzato solo una falla 0day. Stuxnet utilizza per diffondersi un totale di quattro falle 0day, falle fino ad ora sconosciute. La prima, l’ormai famosa falla di Windows nella visualizzazione dei file collegamento – MS10-046. La seconda, MS10-061, è stata corretta con gli ultimi aggiornamenti di Settembre rilasciati da Microsoft. Il problema risiede nello spooler di stampa, il quale in determinate situazioni potrebbe permettere l’esecuzione di codice da remoto. Altre due falle 0day sono tutt’ora sconosciute, o meglio conosciute solo da Microsoft e ricercatori di terze parti che hanno analizzato il codice di Stuxnet. Queste due falle 0day sono falle EoP (Elevation of Privileges), cioè utilizzate per elevare i privilegi di un eventuale malware all’interno del sistema infetto.

In aggiunta a tutto ciò, Stuxnet utilizza anche l’ormai vetusta falla MS08-067, già utilizzata dal malware Conficker per diffondersi nelle aziende. Falla che, ovviamente, è stata già corretta da Microsoft da tempo.

Ancora: chi ha progettato Stuxnet ha anche un’ottima conoscenza del linguaggio di programmazione AWL di Siemens, linguaggio utilizzato per la programmazione di PLC S7. Infatti, nel codice del malware, è stato scoperto che una routine è dedicata appositamente ad iniettare codice nei PLC controllati dai sistemi SCADA infetti. In altre parole, Stuxnet è in grado di manipolare il codice che viene inviato dal sistema SCADA ai PLC, inserendo anche un rootkit specifico nel PLC capace di nascondere il codice alterato.

Infine, secondo statistiche rilasciate da Symantec, l’Iran è il paese più colpito da questo malware.

Ora è possibile rifare il punto della situazione sul caso Stuxnet:

  • il malware utilizza ben quattro vulnerabilità 0day in Windows, evento ad oggi mai riscontrato e che indica una conoscenza del sistema operativo Windows troppo avanzata e specifica per poter pensare ad un attacco di un singolo programmatore;
  • il malware utilizza due certificati digitali rubati a terze aziende;
  • il malware attacca piattaforme utilizzate per controllo di sistemi industriali, conoscendone bene il funzionamento ed eventuali vulnerabilità oltre che essendo a conoscenza della password del database
  • il malware è in grado di alterare il funzionamento dei PLC – terminali di gestione dei processi industriali – programmati dai sistemi infettati;
  • il malware si è diffuso particolarmente in Iran;
  • Se prima l’idea era che si trattasse non di un semplice malware ma di un caso di spionaggio industriale, ora l’idea di spionaggio e sabotaggio industriale è sempre più forte e reale. Il team alle spalle di Stuxnet è un team altamente specializzato, che ha conoscenze specifiche sia di Windows e delle soluzioni Siemens, sia della vittima a cui il malware era destinato.

    Ma chi può aver bisogno di fare ciò e chi potrebbe essere la vittima? Per chi ha letto fino ad ora, le idee potrebbero essere già chiare, ma forse è il caso di aggiungere altri particolari.

    Siemens ha dichiarato a Gennaio 2010 di voler interrompere qualsiasi vendita di prodotti ordinati dall’Iran a causa della sospetta attività nucleare. Tuttavia, Siemens e Iran hanno da lungo tempo rapporti commerciali, tant’è che tutti gli ordini effettuati dall’Iran a Siemens prima del 2010 verranno comunque gestiti. Nel 1975 Siemens si era impegnata nella costruzione di una centrale nucleare vicino la città iraniana di Bushehr. Contratto poi interrotto nel 1979. Tuttavia, lo stesso progetto fu poi ripreso nel 1995 dalla Russia, che si impegnò nella costruzione della centrale. Progetto che è tuttora in fase di sviluppo, progetto chiaramente scomodo e mal visto da molti paesi, tra i quali Israele.

    Israele che, da tempo, sta tenendo sotto controllo l’Iran anche sotto il punto di vista della sicurezza informatica, per possibili cyberwar. Guerre virtuali che sono tutt’altro che una mera ipotesi. Un articolo scritto da Reuters nel 2009 riportava proprio tale possibile ipotesi, un sabotaggio informatico da parte di Israele nei confronti dell’Iran. Citando l’articolo:

    “To judge by my interaction with Israeli experts in various international forums, Israel can definitely be assumed to have advanced cyber-attack capabilities,” said Scott Borg, director of the U.S. Cyber Consequences Unit, which advises various Washington agencies on cyber security.
    ….
    Asked to speculate about how Israel might target Iran, Borg said malware — a commonly used abbreviation for “malicious software” — could be inserted to corrupt, commandeer or crash the controls of sensitive sites like uranium enrichment plants
    ….
    As Iran’s nuclear assets would probably be isolated from outside computers, hackers would be unable to access them directly, Borg said. Israeli agents would have to conceal the malware in software used by the Iranians or discreetly plant it on portable hardware brought in, unknowingly, by technicians.

    A contaminated USB stick would be enough,” Borg said.

    A contaminated USB stick would be enough. La stessa “chiavetta” con cui Stuxnet ha iniziato la propria diffusione. Probabilmente la stessa chiavetta che l’ha tradito e l’ha portato alla luce.

    Fanta-politica? Idee distanti dalla realtà?

    La verità è che l’informatica fa parte del mondo di oggi, anzi è uno strumento diventato fondamentale, necessario per l’evolversi stesso della società. A causa di questo ruolo cruciale, tuttavia, la stessa informatica è diventata il campo di battaglia preferito. Un campo di battaglia dove non esistono regole, dove le leggi attuali stentano ad arrivare. Un campo di battaglia, però, che può diventare letale per un’intera nazione.