Gli esperti di Kaspersky Lab ritengono che il worm Stuxnet segni l’inizio di una nuova Era: da quella della cyber-criminalità all’Era della cyber-guerra.
Il recente attacco del worm Stuxnet ha innescato discussioni e speculazioni sui motivi, gli scopi, le origini e – cosa più importante – sull’identità dell’autore dell’attacco e sul suo obiettivo.
Kaspersky Lab non ha sufficienti prove per identificare gli autori dell’attacco o il suo target, ma possiamo affermare che si è trattato di un attacco malware particolare e unico nel suo genere, sostenuto da una squadra di tecnici economicamente ben fornita, dotata di competenze notevoli e con una approfondita conoscenza della tecnologia SCADA.
Pensiamo però che un attacco di questo tipo possa essere condotto solo con il supporto e il sostegno di uno stato-nazione.
“Credo che ci troviamo a un punto di svolta. In questo momento siamo di fronte al principio di un nuovo mondo: in quello del passato c’erano solo i cyber-criminali; ora, invece, temo che questa sia l’Era del cyber-terrorismo, delle cyber-armi, delle cyber-guerre”, ha dichiarato Eugene Kaspersky, cofondatore e CEO di Kaspersky Lab.
Parlando con i giornalisti al Simposio Internazionale Kaspersky sulla Sicurezza, a Monaco in Germania, il CEO di Kaspersky Lab ha paragonato l’individuazione del worm Stuxnet all’apertura del vaso di Pandora.
“Questo programma non è stato concepito per rubare denaro, inviare spam o per appropriarsi di dati personali; questo malware è stato creato per sabotare e danneggiare impianti e sistemi industriali”, ha aggiunto.
“Ho paura che questo sia l’inizio di un nuovo mondo, di una nuova Era: gli anni 90 sono stati il decennio dei cyber-vandali, il primo decennio del 2000 è stato quello dei cyber-criminali e, ora, temo che siamo entrati nell’Era del cyber-terrorismo e delle cyber-guerre”, ha concluso.
I ricercatori di Kaspersky Lab hanno scoperto recentemente che il worm sfruttava quattro distinte vulnerabilità di tipo “zero-day”. I nostri analisti hanno segnalato tre di queste nuove vulnerabilità direttamente a Microsoft, e si sono coordinati con loro per la creazione e per il rilascio delle relative riparazioni al software.
Oltre a sfruttare quattro vulnerabilità di tipo “zero-day”, il worm Stuxnet si è anche avvalso di due certificati validi (Realtek e LMicron) che gli hanno permesso di tenere nell’ombra il malware per un discreto arco di tempo.
Lo scopo ultimo del worm era di accedere a Simatic WinCC SCADA, usato come sistema di controllo industriale per monitorare e controllare processi industriali o infrastrutturali. Sistemi simili sono molto usati nelle condutture petrolifere, negli impianti energetici, nei sistemi di comunicazioni di vaste dimensioni, negli aeroporti, nelle navi e anche all’interno di installazioni militari.
La conoscenza approfondita della tecnologia SCADA, il tipo di attacco sofisticato e multilivello, l’uso di diverse vulnerabilità di tipo “zero-day” e di certificati legittimi ci hanno convinto che Stuxnet sia stato creato da una squadra di professionisti estremamente preparati, in possesso di vaste risorse e di supporto finanziario.
Il target dell’attacco e il luogo in cui si è manifestato primariamente (l’Iran) suggerisce poi che non si sia trattato di un normale gruppo di cyber-criminali. Inoltre, i nostri esperti in sicurezza che hanno analizzato il codice del worm insistono sul fatto che l’obiettivo principale di Stuxnet non era spiare il sistema infettato, ma portare al sabotaggio del sistema colpito. I fatti suelencati indicano che lo sviluppo di Stuxnet è stato sostenuto da uno stato-nazione, dotato di importanti dati di intelligence a sua disposizione.
Kaspersky Lab ritiene che Stuxnet sia il temibile prototipo base di una cyber-arma, che porterà alla nascita di una nuova corsa agli armamenti a livello mondiale. Solo che questa volta sarà rivolta alla creazione di cyber-armi.
