Stuxnet è un worm diffufosi negli scorsi mesi, estremamente sofisticato e in grado di diffondersi, aggiornarsi, colpire impianti industriali e scomparire.
Un’arma creata per un’operazione di cyberwarfare condotta magistralmente. Analizzare il suo funzionamento ci aiuterà a comprendere i suoi obbiettivi e i relativi danni causati.Questo worm è scritto con diversi linguaggi di programmazione (fra cui C, C++ e MC7), conseguentemente al fatto che è stato creato per attaccare sistemi differenti in momenti diversi. Inizialmente si diffonde, principalmente attraverso le reti e rimovibili usb, infettando i computer attraverso vulnerabilità del sistema operativo. Successivamente si indirizza alla ricerca di unità PLC, particolari apparati,collegabili ai computer, per la gestione di impianti industriali.
Qui Stuxnet dimostra tutta la sua sofisticatezza, operando in condizioni e con capacità raramente viste prima d’ora. Effettua ricerche molto selettive, si interessa solo di modelli specifici di PLC, prodotti dalla Siemens, gli S7 300 e 400. Qualora trovati e identificati, ricerca ulteriormente solo i modelli di una specifica sottoserie. Se individuati compie ulteriori verifiche, interessandosi solo dei PLC regolati con particolari configurazioni e valori specifici.
Stuxnet svolge quindi un’azione assolutamente mirata, verso obbiettivi altamente selezionati. Solo se si verificano tutte queste condizioni descritte interviene, modificando le impostazioni del PLC secondo le proprie volontà.
Da questo momento in poi sarà Stuxnet a controllare l’impianto industriale collegato al PLC. Procede anche ad “infettare” i programmi software utilizzati per la gestione dei PLC, compromettendoli in maniera radicale: tutte le operazione fra computer e PLC passeranno, all’insaputa del personale utente, fra le “mani” di Stuxnet. Ogni qual volta il personale si collegherà al PLC, Stuxnet sarà in grado di “mascherare” i valori reali restituendo solo i vecchi valori, presenti prima della “contaminazione”.
In questo modo le modifiche apportate da Stuxnet, alle unità PLC, non saranno mai visibili. L’impianto industriale collegato al PLC funzionerà quindi in maniera alterata, e in casi specifici, senza che nessuno possa accorgersene. Stuxnet, cosi come ha degli obbiettivi notevolmente selezionati, è anche stato diffuso in modo assolutamente mirato, prevalentemente in Iran.
Studiando i valori che questo worm ricerca e modifica nei PLC è stato identificato il suo reale obbiettivo: le centrifughe per l’ arricchimento dell’uranio installate nelle centrali nucleari iraniane. I valori ricercati da Stuxnet, corrispondono a quelli delle normali velocità dei rotori delle centrifughe P1 installate in Iran. I valori che Stuxnet va d inserire, differentemente, alteravano il funzionamento dei rotori modificando la velocità di rotazione delle centrifughe. Imprimendo brevi accelerazioni oltre i limiti, alternate a forti decelerazioni, in spazi di tempo ridottissimi (sembrerebbe inferiori al secondo). Le centrifughe hanno quindi funzionato, probabilmente per mesi, logorandosi lentamente, senza che nessuno potesse identificare la presenza del problema con chiarezza. Nella centrale di Nantaz , secondo i rapporti dell’ IAEA, i processi di arricchimento dell’uranio hanno subito forti rallentamenti dovuti all’arresto di alcune centrifughe. Secondo altre fonti di intelligence, l’impianto sarebbe stato chiuso per una settimana, ed ancora oggi opererebbe in modalità ridotta.
Stuxnet ha quindi raggiunto il suo risultato.
La creazione di questo worm ha indubbiamente richiesto sforzi non indifferenti in termini di tempo e denaro. Alcuni analisti hanno parlato di diversi mesi e circa un milione di dollari. Ma ciò che ha caratterizzato il suo processo di creazione è la necessità di effettuare test ripetuti, non solo su unità PLC ma, anche su impianti industriali simili a quelli da danneggiare. Sono notevoli ulteriori due caratteristiche di Stuxnet: la sua capacità di aggiornarsi dinamicamente e modificarsi a seconda dell’impianto che si trova di fronte, così come la sua capacità di analizzare l’impianto, le sue caratteriste tecniche e trasmettere queste informazioni via rete. Verso chi?
Probabilmente verso chi lo ha creato, un team di tecnici militari. Estremamente sofisticato, intelligente e dinamico, con un unico preciso fine: rallentare i processi di arricchimento dell’uranio in Iran. Non possiamo dire con certezza sotto quale bandiera sia nato, probabilmente anche con l’aiuto indiretto e più o meno consapevole di soggetti terzi ma, il suo obbiettivo era comune a molti: Stati Uniti, Israele, paesi NATO , e alcuni stati arabi.
Fra questi solo Israele e Stati Uniti dispongono delle capacità necessarie per porre in essere un operazione di questo genere.