di Eugenio Roscini Vitali

Il primo attacco ai siti atomici iraniani è stato sferrato: il weapon system si chiama Stuxnet, il virus in grado di riprogrammare i sistemi SCADA (Supervisory Control And Data Acquisition, controllo di supervisione e acquisizione dati) utilizzati per il monitoraggio e la gestione delle reti informatiche e dei grandi complessi infrastrutturali e industriali che utilizzano PC dotati di sistema operativo Windows e software WinCC e PCS 7.

Non è certo il primo attacco cibernetico che colpisce la Repubblica islamica, ma fino ad ora sembra quello meglio riuscito: fonti israeliane hanno rivelato che nel 2008 il Mossad utilizzò alcune società ombra per vendere all’Iran una partita di sistemi contenenti un virus che si sarebbero dovuto sviluppare una volta entrato in rete e nel 2009 sarebbe stato lo stesso  presidente americano, Barack Obama, ad autorizzare un progetto “top secret” che prevedeva un’offensiva elettronica contro il progetto nucleare iraniano.

Nonostante le rassicurazioni del vice direttore della Società per la Tecnologia Informatica del Ministero dell'Industria iraniano, Hamid Alipour, che minimizza il numero dei computers colpiti a circa 30.000, e le sprezzanti dichiarazioni del direttore dell'Organizzazione per l'Energia Atomica dell'Iran (Oeai), Ali Akbar Salehi, che parla di fallito tentativo di danneggiare i piani nucleari iraniani, in Iran il virus potrebbe aver già infettato milioni di pc.

Secondo tecnici occidentali il vero bersaglio del virus sono i sistemi che coordinano le centrifughe per l’arricchimento dell’uranio di Natanz e la centrale di Busher, attivata lo scorso agosto con l’assistenza dei tecnici della Atomstroyexport, la compagnia russa specializzata nella costruzione di reattori di terza generazione che in Iran sta portando avanti il progetto del nucleare civile. Stuxnet aveva fatto la sua prima comparsa a metà luglio in Bielorussia e ad isolarlo era stata la VirusBlokAda, società con sede a Minsk che opera nel settore della sicurezza informatica.

Il malware utilizzava una falla “0day” causata da un bug del sistema operativo Windows e per espandersi infettava i dispositivi USB rimovibili, uno degli accessori per pc attualmente più diffusi. Informata la Microsoft e le altre società di sicurezza informatica, si arrivò ben presto a scoprire che lo Stuxnet attaccava sistemi Windows nei quali erano installati i prodotti Simatic WinCC e PCS 7 (soluzioni Siemens utilizzate per sistemi SCADA) e che per scrivere il codice, di cui esisteva almeno un’altra variante, gli autori avevano rubato i certificati digitali appartenenti a Realtek Semiconductor e JMicron Technology, certificati poi utilizzati per firmare i malware.

Un perfetto caso di spionaggio industriale, dunque, talmente sofisticato che è difficile pensare all’attacco di un pirata informatico isolato: dopo ulteriori analisi, Microsoft è giunta infatti alla conclusione che Stuxnet non utilizza solo l’ormai datata falla MS08-067, impiegata dal malware Conficker per diffondersi nelle aziende, o la famosa MS10-046, quella relativa alla vulnerabilità nella Shell di Windows corretta nell’agosto scorso, ma altre tre: la nuova MS10-061 che riguarda lo spooler di stampa ed è stata corretta da Microsoft con gli aggiornamenti rilasciati a settembre e altre due di cui non si sa ancora nulla.

Chi sta analizzando il codice del virus Stuxnet è certo comunque che è stato scritto da chi ha un’ottima conoscenza del linguaggio utilizzato per la programmazione dei PLC (AWL di Siemens) controllati dai sistemi SCADA, profonda a tal punto da riuscire perfino a nascondere il codice alterato.

I tecnici della Repubblica Islamica non sono ancora riusciti a trovare un antivirus adatto a Stuxnet e sembra che nel tentativo di eliminarlo lo abbiano reso ancora più aggressivo: il virus riesce infatti ad infettare nuovamente una macchina dalla quale è già stato rimosso. La situazione sarebbe talmente grave che le autorità, che si rifiutano di rendere note le modifiche apportate al sistema Scada con cui l'Iran gestisce i suoi complessi industriali e militari; sarebbero addirittura arrivate a chiedere aiuto ad alcuni esperti europei di sicurezza informatica, ma nessuno dei tecnici contattati avrebbe fino ad ora accettato di collaborare.

La paura è che gli stessi creatori del virus abbiano un controllo parziale della situazione e che per quanto riguarda la diffusione siamo solo all’inizio: Stuxnet, che attacca in particolare i programmi utilizzati da Siemens per l'automazione industriale, incluse le piattaforme petrolifere, gli oleodotti e le centrali elettriche, è stato segnalato in Pakistan, India e Indonesia, e in Cina avrebbe già infettato 6 milioni di computer di singoli utenti e quasi 1.000 aziende, interessando molti settori chiave dell’industria del continente asiatico.

Un portavoce della Siemens ha dichiarato che ad Hong Kong le compagnie che utilizzano i sistemi incriminati non sono state ancora attaccate, ma secondo un ingegnere della Rising International Software di Pechino l’allarme è già stato lanciato: tra i clienti della multinazionale ci sono l’aeroporto internazionale di Hong Kong, le ferrovie di Stato, Disneyland, la Clp Power e il Saint Paul Hospital. Secondo alcuni esperti non si saprà mai da dove viene questo virus e ancor meno chi lo ha progettato, ma dall’analisi del codice sembra ci sia un file chiamato “Myrtus”, possibile riferimento al Libro di Ester contenuto nella Bibbia ebraica e nell’Antico Testamento: nei dieci capitoli del libro si parla di una fanciulla ebrea di nome Hadassa (tradotto significa appunto mirto) che, divenuta moglie del re persiano Assuero, sventa un complotto contro gli ebrei ordito dal primo ministro persiano Haman e ottiene dal re il diritto per i giudei di difendersi.