Il worm Stuxnet starebbe già circolando in Rete, sul “mercato nero”. Lo sostengono alcuni ricercatori inglesi che però non chiariscono se in Rete si stia diffondendo il codice sorgente del malware oppure semplici campioni in formato binario.
Di Stuxnet abbiamo ampiamente parlato nelle scorse settimane (ved. questi nostri articoli) pubblicando anche le analisi degli esperti che definiscono il worm come un esempio di malware particolarmente complesso studiato per attaccare i sistemi SCADA, basati su software Siemens ed utilizzati per il controllo di apparati industriali. Il virus si è diffuso sfruttando, innanzi tutto, alcune falle di Windows completamente sconosciute. Un aspetto, questo, che ha immediatamente fatto suonare il campanello d’allarme ai tecnici di molte aziende impegnate nello sviluppo di strumenti antimalware. La Rete, infatti, è il veicolo preferito per la diffusione di centinaia di malware che, generalmente, fanno leva su vulnerabilità note del sistema operativo o delle applicazioni (in molti casi, per ciascuna di tali falle, i rispettivi produttori hanno già rilasciato una patch risolutiva mentre in altre situazioni l’aggiornamento non è disponibile ma sul web sono già pubblicati i codici exploit per condurre attacchi). Nel caso di Stuxnet, invece, gli autori del worm sembrano non aver fatto tesoro di informazioni note. Ciò ha fatto pensare, nel caso di Stuxnet, all’azione di coordinata di un team di esperti, tesa a bersagliare – in modo mirato – alcune tipologie di sistemi di automazione industriale.
Come già ricordato, in molti hanno legato lo sviluppo di Stuxnet all’intento di sabotare il funzionamento delle centrali nucleari iraniane. E’ questo l’inizio di una guerra digitale tra le principali potenze del globo?
Gli esperti di sicurezza britannici, in seguito alla diffusione di informazioni sul funzionamento di Stuxnet, cominciano a temere l’eventualità che i terroristi possano utilizzare un cliché simile per aggredire infrastrutture d’importanza critica. Will Gilpin, consulente del governo inglese avrebbe dichiarato che worm simili a Stuxnet possono “bloccare il funzionamento delle centrali elettriche o causare malfunzionamenti ai sistemi usati per la gestione dei trasporti“.
Il tono è certamente allarmistico e le potenzialità perché qualcuno sviluppi un malware simile a Stuxnet ci sono tutte. Va però ricordato, per “bilanciare” quanto ripotato da alcuni organi di stampa, che il payload di Stuxnet è molto specifico e non può essere utilizzato, così com’è, per disabilitare qualunque centrale elettrica, stazioni di pompaggio, impianti semaforici e così via. Questi tipi di attacchi sono e restano appannaggio di persone dotate di una conoscenza specifica sulle vulnerabilità presenti negli obiettivi da attaccare e non sono certo sfruttabili su vasta scala.
Ciò non toglie che Stuxnet resti ad oggi uno dei più sofisticati strumenti d’infezione per i sistemi industriali: il worm è capace di utilizzare le comuni chiavette USB e le risorse condivise in rete locale per diffondersi (molti impianti industriali non sono direttamente connessi alla rete Internet) interfacciandosi poi con i PLC (Programmable logic controller) impiegati nella nella gestione dei processi.