Stuxnet a distanza di anni fa ancora parlare di sé

Stuxnet a distanza di anni fa ancora parlare di sé

La variante di Stuxnet individuata nei siti nucleari iraniani deriva da un codice malevolo ancor più complesso risalente al 2007

di pubblicata il , alle 09:51 nel canale Sicurezza
 

A distanza di anni dalla scoperta di Stuxnet il particolare malware destinato alle infrastrutture nucleari iraniane fa ancora parlare di sé. Alcune settimane fa si è scoperto che Stuxnet è stato utilizzato anche in contesti differenti dal programma nucleare iraniano, e più precisamente - pare - sono stati presi di mira dei siti analoghi in Russia.

Alcuni esperti del settore è da tempo che intendono riportare l'attenzione su questo genere di azioni, e viene anche sostenuto che le situazioni critiche individuate costituiscano solo l'apice di un problema ben più articolato. E in molti casi risulta anche delicata la diffusione di informazioni da parte degli organi di stampa.

In merito a Stuxnet si è scoperto che la variante individuata nel 2010 all'interno dell'infrastruttura di Natanz era meno complessa rispetto a una versione precedente e datata circa 2 anni prima. Questo genere di malware non si occupano di infettare sistemi PC, di trafugare informazioni o di realizzare truffe online, ma hanno quale obiettivo quello di prendere il controllo o danneggiare infrastrutture strategiche. Sono facilmente immaginabili i danni potenziali derivanti dal danneggiamento di un insediamento in cui viene gestito materiale radioattivo o nel quale viene generata energia elettrica.

Nel caso di Stuxnet seconda variante venivano presi di mira i sistemi PLC che governavano alcune centrifughe: il codice malevolo era in grado di aumentare il regime di rotazione al punto da creare danni materiali al macchinario. Invece, la prima versione pare essere ancor più complessa e pericolosa: attraverso i PLC veniva preso il controllo di alcune valvole utilizzate per la regolazione della pressione dei gas presenti all'interno delle centrifughe.

Il codice, inoltre, era realizzato in modo tale da rendere difficilmente identificabile il problema, infatti veniva simulato l'output di 21 secondi registrato in condizioni normali dai sensori di controllo. Con questa soluzione dai controlli remoti ci si accorgeva di quanto accaduto solo una volta che si era concretizzato un danno materiale ai dispositivi. Non è chiaro del perché questa prima e più complessa variante di Stuxnet sia stata rimpiazzata con una soluzione più semplice. Ulteriori dettagli sono disponibili qui.

Al momento non c'è certezza nemmeno sull'origine di questi attacchi, anche se varie fonti di informazione hanno indicato tra i potenziali mandanti Israele e USA. I nuovi dettagli non fanno altro che confermare la portata del nuovo fenomeno cyberware, ampiamente sottovalutato e con caratteristiche, ramificazioni o implicazioni di carattere socio-economico ancora tutte da chiarire.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
PeK22 Novembre 2013, 11:23 #1
un applauso a chi usa sistemi operativi vecchi e mai patchati e senza antimalware in applicazioni così sensibili.

ma soprattutto: come ci è arrivato? chi è il mentecatto che li lascia connessi ad internet? chi è che aveva una chiavetta usb infetta?
Nox3222 Novembre 2013, 12:43 #2
qualcuno pagato appositamente per farlo?

spendono milioni di dollari in un malware e poi sperano che ci siano "mentecatti" nei centri di ricerca?
Marci22 Novembre 2013, 13:37 #3
Originariamente inviato da: PeK
un applauso a chi usa sistemi operativi vecchi e mai patchati e senza antimalware in applicazioni così sensibili.

ma soprattutto: come ci è arrivato? chi è il mentecatto che li lascia connessi ad internet? chi è che aveva una chiavetta usb infetta?


Non sono connessi ad internet, semplicemente i servizi segreti trovano il modo di caricare i virus direttamente sul posto
Qui non si parla di un malware fatto da un qualche hacker ribelle ma di un programma studiato da specialisti e finanziato da due stati sovrani. Mi pare ovvio che non possano esistere "antimalware" capaci di bloccarlo, anche perchè la software house in questione penso verrebbe "gentilmente" invitata ad eliminarlo dall'elenco file pericolosi.
Idem il discorso falle, credi che per USA o Israele sia così difficile fare una chiamatina a chi di dovere per conoscere qualche falla che può essere utilizzata e, magari, chiedere anche che non venga tappata fino a nuovo ordine?
epopower22 Novembre 2013, 14:07 #4

Siemens

Stuxnet si "nasconde" all'interno di moduli che vengono utilizzati all'interno di logiche PLC di PCS7 Siemens.
Fino ad oggi sono stati identificati solo su moduli specifici ed utilizzati per la gestione di centrali nucleari.

Comunica all'interno del protocollo utilizzato da PCS7, risultando del tutto trasparente.

Per questi motivi non è rilevabile.

Quindi i sistemi operativi vecchi o nuovi, aggiornati o meno che siano, sono ininfluenti.
!fazz22 Novembre 2013, 15:55 #5
si ma al plc ci devi arrivare, tramite un pc che ha il suo s.o. e tutta l'interfaccia di rete anche se dubito che lo scada di una centrale nucleare non sia isolato quindi serve comunque una talpa interna
LMCH22 Novembre 2013, 18:04 #6
Originariamente inviato da: !fazz
si ma al plc ci devi arrivare, tramite un pc che ha il suo s.o. e tutta l'interfaccia di rete anche se dubito che lo scada di una centrale nucleare non sia isolato quindi serve comunque una talpa interna


Ma non necessariamente una talpa "interna", nel senso che potrebbe essere tra i fornitori di software e di tecnologie.
epopower22 Novembre 2013, 18:18 #7
Infatti, da un caso che conosco dello scorso anno in Svizzera, Stuxnet è stato rilevato su una rete di telefonia ibrida all'interno di una banca.
Da ricerche fatte all'interno della banca stessa in collaborazione con il fornitore di apparecchiature Siemens, si è risaliti alla "infezione" accidentale tramite chiavetta usb di un tecnico dell'azienda che fornisce hw siemens alla banca.

edit: dimenticavo...parecchi operatori in ambito energetico si fanno consegnare da fornitori di tecnologie o di servizi correlati, soluzioni chiavi in mano per la parte specifica di controllo di generatori/turbine o altro. Se i moduli forniti/utilizzati sono infetti, è molto difficile rilevare anomalie. Le OS (Operation Station) anche se provviste di antivirus no rileveranno nulla, così come non rilevano nulla eventuali Firewall che analizzano il traffico di rete.
weseven22 Novembre 2013, 19:02 #8
Lo stuxnet rivolto alle centrali iraniane usava [U]almeno 4[/U] (quattro) 0-day exploit che all'epoca non erano ancora stati rilevati (tantomeno patchati), più una pletora di altri meccanismi avanzati di trasmissione e replicazione.

Il contributo di Siemens sembra ci sia stato, nella progettazione più che altro. Il vettore di infezione sembra fossero delle chiavette usb date ad una conferenza.

un applauso a chi usa sistemi operativi vecchi e mai patchati e senza antimalware in applicazioni così sensibili.

ma soprattutto: come ci è arrivato? chi è il mentecatto che li lascia connessi ad internet? chi è che aveva una chiavetta usb infetta?


http://www.symantec.com/content/en/...net_dossier.pdf

http://abterra.ca/papers/How-Stuxnet-Spreads.pdf

buona lettura, poi ne riparliamo.
omerook22 Novembre 2013, 22:04 #9
tempo fa superquark fece un bel servizio su questo virus e spiego le tecniche usate per raggiungere l'obbiettivo.

http://www.youtube.com/watch?v=nJ9I...be_gdata_player

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^