Spionaggio industriale alla base del worm Stuxnet?

A luglio ha fatto grande clamore la notizia della scoperta di una modalità d’attacco, già sfruttata per condurre attacchi piuttosto mirati, che consentiva ad un aggressore – in ambiente Windows – di forzare il caricamento di un eseguibile o di una DLL nocivi, già esistenti. Operazione che poteva avvenire semplicemente visitando una cartella od inserendo un supporto di memoria che contenesse un file LNK (collegamenti di Windows) modificato “ad arte”. Della “falla LNK” abbiamo ampiamente parlato, nei mesi scorsi, in questi articoli.

Il malware che sfrutta il bug individuato in tutte le versioni di Windows (da Windows 2000 in poi), risolto da Microsoft con la pubblicazione – ad inizio agosto – della patch MS10-046 (che consente di sanare la problematica su Windows XP SP3, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2008 R2 e Windows 7), è stato battezzato Stuxnet. Come spiega Marco Giuliani, Malware Technology Specialist per Prevx, Stuxnet è un malware piuttosto interessante: alcune caratteristiche lo rendono unico nel panorama mondiale.
Innanzi tutto, le varie aziende specializzate nel campo della sicurezza informatica, rilevarono come Stuxnet facesse uso di certificati digitali sottratti a Realtek e JMicron. I certificati digitali sono stati impiegati dagli autori di Stuxnet per firmare le varianti del malware e renderlo così meno sospetto agli “occhi” del sistema operativo e di alcuni software antivirus.
Analizzando il funzionamento del malware più nel dettaglio, si scoprì come Stuxnet prendesse di mira due prodotti software per Windows (Simatic WinCC e PCS 7) utilizzati per il monitoraggio elettronico di sistemi industriali. Le due applicazioni sono usate sui sistemi SCADA (Supervisory Control And Data Acquisition, sistemi informatici distribuiti per il monitoraggio elettronico di sistemi fisici) di Siemens.

Siemens stessa ha confermato il rilevamento di 15 infezioni da worm Stuxnet nelle sue sedi sparse per il mondo. Un terzo delle aggressioni sarebbe avvenuto negli stabilimenti tedeschi.
Le analisi svolte dai tecnici di Siemens hanno potuto stabilire come Stuxnet possa, almeno in teoria, controllare i PLC (Programmable logic controller), sfruttati nella gestione dei processi industriali. Secondo Wieland Simon, portavoce di Siemens, Stuxnet controllerebbe le configurazioni dei sistemi WinCC o PC7 infettati alla ricerca di blocchi di dati già presenti.

Giuliani ha fatto presente che “Stuxnet è in grado di manipolare il codice inviato dal sistema SCADA ai PLC, inserendo anche un rootkit specifico nel PLC capace di nascondere il codice alterato” valutando poi l’accaduto come “un perfetto caso di spionaggio industriale, visto che il malware era in grado di penetrare i database del software Siemens installato e rubare informazioni segrete, quali ad esempio file di progetti“. Per diffondersi, tra l’altro, Stuxnet non sfrutta una sola falla ma ben quattro vulnerabilità note. Oltre a quella legata all’imperfetta gestione dei collegamenti (MS10-046), Stuxnet cerca di far leva sulla MS10-061 (lacuna nello spooler di stampa che, in determinate situazioni, può provocare l’esecuzione di codice dannoso) e su altre due falle per ora sconosciute al “pubblico”: “la loro esistenza è per il momento nota solo a Microsoft ed ai ricercatori di terze parti che hanno esaminato il codice di Stuxnet“, ha aggiunto Giuliani. Queste ultime due vulnerabilità possono essere usate per acquisire privilegi utente più elevati sui sistemi Windows presi di mira.

Dal momento che l’Iran – come confermato dalle indagini di Symantec – risulta essere il Paese più colpito dal worm Stuxnet, Giuliani ipotizza che possa trattarsi dell’inizio di una sorta di “guerra virtuale“. Al secondo e terzo posto vi sarebbero Indonesia ed India. Sarà interessante sorvegliare, nel prossimo futuro, l’evoluzione delle infezioni ed eventuali “mutazioni” del worm.