Un ingegnere. Una chiavetta USB. Un parcheggio davanti a un impianto nucleare, in Iran, intorno al 2009. L'ingegnere non sa che la chiavetta è stata manomessa. Non sa che dentro di essa dorme qualcosa. Quando la inserirà nel suo computer di lavoro, un gesto compiuto migliaia di volte nella sua vita, darà inizio all'operazione di cyberwarfare più sofisticata mai condotta nella storia dell'umanità.
Natanz, Iran, L'impianto che non doveva esistere
L'impianto di arricchimento dell'uranio di Natanz era, almeno sulla carta, un segreto di Stato. Costruito parzialmente sottoterra, circondato da difese fisiche imponenti, monitorato dai servizi di intelligence di mezzo mondo. Al suo interno giravano migliaia di centrifughe, apparecchiature delicatissime che, ruotando a velocità superiori ai 1.000 giri al secondo, separavano gli isotopi di uranio necessari per un programma nucleare.
Dal punto di vista informatico, l'impianto era considerato inviolabile per una ragione precisa: era in air gap, completamente disconnesso da qualsiasi rete esterna. Nessun cavo che uscisse dall'impianto verso Internet. Nessun WiFi. Nessun accesso remoto. Una fortezza digitale che non aveva bisogno di mura perché viveva nell'isolamento assoluto. Almeno così si credeva.
La firma: quattro zero-day in un solo codice
Quando nel 2010 i ricercatori di sicurezza cominciarono ad analizzare il malware poi battezzato Stuxnet, la prima reazione fu incredulità. Non perché non avessero mai visto malware complessi, ma perché ciò che avevano davanti era di un ordine di grandezza superiore a qualsiasi cosa vista prima.
Stuxnet sfruttava quattro vulnerabilità zero-day di Windows. Quattro falle di sicurezza completamente sconosciute, non solo al pubblico, ma agli stessi sviluppatori Microsoft. Per un gruppo cybercriminale, riuscire a trovare e sfruttare una zero-day è già considerato un risultato eccezionale. Quattro contemporaneamente, in un unico malware, coordinato e preciso: questo era il lavoro di uno Stato. Di un'intelligence con risorse praticamente illimitate.
Ma la vera genialità di Stuxnet era altrove. Il malware non cercava di fare danni evidenti. Cercava una configurazione molto specifica: un sistema Windows con installato il software Siemens Step7, collegato a PLC Siemens S7-300, a loro volta connessi a convertitori di frequenza di due particolari produttori, Vacon (Finlandia) e Fararo Paya (Iran), che operavano tra gli 807 e i 1210 Hz. La frequenza esatta delle centrifughe di Natanz.
Se quella configurazione non fosse stata presente, Stuxnet non avrebbe fatto nulla. Si propagava passivamente, invisibile, senza lasciare tracce. Ma se trovava il suo bersaglio, quel preciso bersaglio, si attivava.
Il sabotaggio invisibile: le macchine che si distruggevano da sole
Quello che Stuxnet fece alle centrifughe di Natanz è ancora oggi un esempio di ingegneria dell'inganno senza precedenti.
Il malware alterava la frequenza di rotazione delle centrifughe in modo periodico: le accelerava bruscamente fino a 1.410 Hz, ben oltre il limite di sicurezza, poi le rallentava improvvisamente a 2 Hz. Poi tornava alla normalità. Poi ripeteva il ciclo, giorni o settimane dopo, per ridurre le possibilità di essere rilevato. Ogni ciclo di stress meccanico consumava le centrifughe dall'interno: cuscinetti, convertitori di frequenza, rotori.
Contemporaneamente, Stuxnet inviava ai monitor di controllo letture perfettamente normali. Gli operatori dell'impianto guardavano i loro schermi e vedevano tutto regolare. Le macchine si rompevano in silenzio, e nessuno capiva perché. Gli ingegneri iraniani aumentavano le ispezioni, cercavano difetti di fabbricazione, sospettavano problemi di qualità nei materiali. Non cercavano un malware, perché non potevano immaginare che un malware fosse lì.
Si stima che Stuxnet abbia distrutto circa 1.000 centrifughe, rallentando il programma nucleare iraniano di 18-24 mesi. Tutto senza sparare un colpo. Tutto con del codice.
La firma nel codice: il numero che non avrebbe dovuto esserci
Quando gli analisti di Symantec e Kaspersky Lab dissezionarono il codice di Stuxnet in ogni suo dettaglio, trovarono qualcosa di strano nella funzione numero 16: una variabile il cui valore era impostato su 19790509. Una variabile di controllo a cui poteva essere assegnato qualsiasi numero. Perché proprio quello?
La risposta non tardò ad arrivare. Il 9 maggio 1979, 09/05/1979, un eminente ebreo iraniano, Habib Elghanian, fu giustiziato a Teheran con l'accusa di spionaggio a favore di Israele. Fu uno dei primi atti persecutori del regime khomeinista contro la comunità ebraica iraniana. Una data incisa nella memoria collettiva israeliana.
Quella variabile non serviva a nulla sul piano funzionale. Era lì solo per esistere. Era, con ogni probabilità, una firma, un messaggio nascosto nel codice di una cyber-arma sviluppata senza nome, senza logo, senza dichiarazioni ufficiali. Un biglietto da visita che nessuno avrebbe dovuto trovare.
Stuxnet non è mai stato ufficialmente rivendicato. La Casa Bianca non ha mai confermato. Il governo israeliano non ha mai confermato. Entrambi non hanno nemmeno smentito.
Il paradosso di Stuxnet: l'arma che si è moltiplicata
Stuxnet aveva un difetto che i suoi creatori probabilmente non avevano previsto, o avevano sottovalutato: un errore di programmazione lo fece uscire dai confini di Natanz. Un laptop infetto all'interno dell'impianto si collegò, probabilmente, a un computer esterno. Il malware si propagò. Raggiunse aziende in Russia, Bielorussia, Germania, India. Il 60% dei computer infetti nel 2010 era in Iran, ma il restante 40% era sparso nel mondo.
Quando Stuxnet fu scoperto e analizzato pubblicamente, accadde qualcosa di irreversibile: chiunque poteva ora leggerne il codice, studiarne le tecniche, comprenderne l'architettura. Stuxnet era diventato un manuale. Ogni nazione con ambizioni geopolitiche, ogni gruppo con risorse sufficienti, aveva ora accesso alla prima dimostrazione pratica che un impianto industriale poteva essere sabotato attraverso il codice. L'Iran stesso, vittima dell'attacco, accelerò immediatamente il proprio programma di cyberwarfare.
Il gioco era appena cominciato.
Stuxnet aveva colpito in silenzio, nell'isolamento di un impianto nucleare. Ma qualcuno stava prendendo appunti. Qualcuno che non voleva sabotare un singolo impianto, voleva spegnere un'intera nazione.
Per maggiori informazioni:
Sito web: www.seccomarco.com