Kaspersky Lab fa luce sulle prime vittime del famigerato worm Stuxnet
Da più di quattro anni si é scoperto uno dei più sofisticati e pericolosi programmi dannosi, considerato la prima cyber-weapon – il worm Stuxnet – ma nonostante ciò ancora molti misteri avvolgono i reali obiettivi di questa operazione. Per un periodo di due anni i ricercatori di Kaspersky Lab hanno raccolto e analizzato più di 2mila file Stuxnet che gli hanno permesso di identificare le prime vittime del worm.
Gli esperti non hanno avuto dubbi fin dall’inizio che l’attacco avesse obiettivi precisi. Il codice del worm Stuxnet risultava professionale ed elitario e gli esperti hanno trovato prove dell’utilizzo di vulnerabilità zero-day estremamente costose. Non era però ancora molto chiaro quali fossero le prime organizzazioni colpite e come il worm fosse riuscito a raggiungere le centrifughe per l’arricchimento dell’uranio all’interno di specifiche strutture di massima segretezza.
Kaspersky Lab con la sua nuova indagine ha chiarito la questione. Le cinque organizzazioni colpite inizialmente operavano nel settore dell’Industrial Control System (ICS) in Iran, sviluppando ICS o fornendo componenti e materiali. La quinta azienda colpita ha attirato l’attenzione degli esperti di Kaspersky Lab. Infatti questa azienda oltre alla produzione di prodotti per l’automazione industriale, produceva centrifughe per l’arricchimento dell’uranio. Sono proprio queste attrezzature l’obiettivo principale di Stuxnet.
I criminali si aspettavano che queste società avrebbero condiviso informazioni con i propri clienti – per esempio con le strutture per l’arricchimento dell’uranio – e che ciò avrebbe permesso al malware di penetrare in questi impianti. Dai risultati dell’indagine è emerso che il piano ha avuto successo.
“Analizzare le attività professionali delle prime organizzazioni colpite da Stuxnet ci consente di comprendere meglio come sia stata pianificata l’intera operazione. Questo è un chiaro esempio di quando un vettore di attacco colpisce le supply-chain recapitando indirettamente il malware all’azienda bersaglio tramite la rete dei partner con cui essa collabora” ha commentato Alexander Gostev, Chief Security Expert at Kaspersky Lab.
Gli esperti di Kaspersky Lab hanno fatto un’altra interessante scoperta: il worm Stuxnet non si diffondeva solamente tramite chiavette USB infette inserite nei PC. Questa era la teoria iniziale, che spiegava come il malware potesse raggiungere l’obiettivo anche in assenza di connessione diretta a Internet. Però i dati raccolti analizzando il primo attacco hanno mostrato che il primo campione di worm (Stuxnet.a) era stato scritto solo poche ore prima che comparisse su un PC della prima azienda colpita. E’ difficile immaginare come, in poche ore, un criminale abbia scritto il codice, l’abbia messo su una chiavetta USB e l’abbia spedita alla società presa di mira. Molto più probabile é, che in questo specifico caso, i criminali che si celano dietro a Stuxnet abbiano usato tecniche diverse dall’infezione tramite USB.
È possibile leggere le ultime informazioni tecniche su alcuni aspetti precedentemente sconosciuti dell’attacco Stuxnet su Securelist e nel nuovo libro – “Countdown to Zero Day” – del giornalista Kim Zetter. Il libro contiene informazioni inedite su Stuxnet, alcune di queste informazioni si basano su interviste con membri del Kaspersky Lab Global Research and Analysis Team.