Sono passati più di quattro anni dalla scoperta di uno dei più sofisticati e pericolosi programmi dannosi –
il worm Stuxnet, considerato la prima cyber-weapon – ma nonostante ciò ancora molti misteri avvolgono questa storia, tra cui i reali obiettivi di questa operazione.
Per un periodo di due anni sono stati raccolti e analizzati
più di 2mila file Stuxnet che hanno permesso ai ricercatori di
Kaspersky Lab di identificare le prime vittime del worm. Sin dall’inizio gli esperti di sicurezza non hanno avuto dubbi sul fatto che l’attacco avesse obiettivi precisi.
Il codice del worm Stuxnet risultava professionale ed elitario e gli esperti hanno trovato prove dell’utilizzo di
vulnerabilità zero-day estremamente costose. Quello che non era ancora molto chiaro era quali fossero le prime organizzazioni colpite e come il worm fosse riuscito a raggiungere le centrifughe per l’arricchimento dell’uranio all’interno di specifiche strutture di massima segretezza.
La nuova indagine di Kaspersky Lab ha fatto luce sulla questione. Le
cinque organizzazioni colpite inizialmente operavano nel settore dell’Industrial Control System (ICS) in Iran, sviluppando ICS o fornendo componenti e materiali. Ad attirare però l’attenzione degli esperti di Kaspersky Lab è stata la quinta azienda colpita, che, oltre alla produzione di prodotti per l’automazione industriale, produceva
centrifughe per l’arricchimento dell’uranio. Sono proprio queste attrezzature l’obiettivo principale di Stuxnet.
Evidentemente, i criminali si aspettavano che queste aziende avrebbero condiviso informazioni con i propri clienti – come ad esempio
con le strutture per l’arricchimento dell’uranio – e che ciò avrebbe permesso al malware di penetrare in questi impianti. Dai risultati dell’indagine è emerso che il piano ha avuto successo.
“
Analizzare le attività professionali delle prime organizzazioni colpite da Stuxnet ci consente di comprendere meglio come sia stata pianificata l’intera operazione. Questo è un chiaro esempio di quando un vettore di attacco colpisce le supply-chain recapitando indirettamente il malware all’azienda bersaglio tramite la rete dei partner con cui essa collabora” ha commentato
Alexander Gostev, Chief Security Expert at Kaspersky Lab.
Gli esperti di Kaspersky Lab hanno fatto un’altra interessante scoperta: il worm Stuxnet non si diffondeva solamente
tramite chiavette USB infette inserite nei PC. Questa era la teoria iniziale, che spiegava come il malware potesse raggiungere l’obiettivo anche in assenza di connessione diretta a Internet.
Tuttavia, i dati raccolti analizzando il primo attacco hanno mostrato che il primo campione di worm (Stuxnet.a) era stato scritto solo poche ore prima che comparisse su un PC della prima azienda colpita. I tempi così brevi rendono difficile immaginare che, in poche ore, un criminale abbia scritto il codice, l’abbia messo su una chiavetta USB e l’abbia spedita alla società presa di mira. È quindi più ragionevole pensare che in questo caso specifico i criminali che si celano dietro a Stuxnet
abbiano usato tecniche diverse dall’infezione tramite USB.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
