Stuxnet

Stuxnet è un worm informatico usato per attaccare le infrastrutture nucleari iraniane. Scopri di più su questo significativo attacco informatico qui sotto.

ANTIVIRUS GRATUITO

Cos'è Stuxnet?

Stuxnet è un worm informatico malevolo che è diventato famoso per il suo uso nell'attaccare le infrastrutture nucleari iraniane. Quell'attacco fece il giro delle notizie mondiali nel 2010 quando fu scoperto per la prima volta. Come afferma Jérôme Segura, Senior Director of Threat Intelligence di Malwarebytes, nel suo articolo Stuxnet: new light through old windows, “Pochi pezzi di malware hanno ricevuto la stessa attenzione mondiale di Stuxnet.”

Pur essendo un worm informatico, Stuxnet è un software malevolo utilizzato per attaccare apparecchiature elettromeccaniche. Come nel caso del grande attacco in Iran, i cybercriminali hanno utilizzato Stuxnet per sfruttare diverse vulnerabilità zero-day di Windows, cercare nei PC infetti una connessione al software che controllava le apparecchiature elettromeccaniche e inviare istruzioni destinate a danneggiare le apparecchiature. Mentre molti tipi di malware infettano un computer attraverso Internet, un'altra caratteristica unica dell'attacco Stuxnet in Iran è che il malware è stato introdotto sui PC tramite chiavette USB infette.  

Stuxnet è un virus?

Molte persone chiamano il malware "virus Stuxnet" anche se non è un virus informatico, ma un worm informatico. Anche se entrambi, virus e worm, sono tipi di malware che possono danneggiare i file, un worm può essere molto più sofisticato. Per cominciare, a differenza di un virus, un worm non necessita dell'interazione umana per attivarsi. Si auto-propaga, a volte prolificamente, una volta entrato in un sistema. Oltre a eliminare dati, un worm informatico può sovraccaricare le reti, consumare larghezza di banda, aprire una backdoor, ridurre lo spazio su disco rigido e rilasciare altri malware pericolosi come rootkit, spyware e ransomware.

Che cos'era l'attacco Stuxnet in Iran?

Secondo il libro “Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon”, nel 2010, ispettori in visita dell'Agenzia per l'Energia Atomica furono sorpresi di vedere che molte centrifughe iraniane non funzionavano. Né gli iraniani né gli ispettori riuscivano a capire perché l’attrezzatura prodotta da Siemens, progettata per arricchire l'uranio per alimentare reattori nucleari, stesse malfunzionando in modo così catastrofico.

Era difficile immaginare che un software malevolo fosse responsabile. Dopotutto, le strutture nucleari iraniane erano air gapped — cioè non erano connesse a una rete né a Internet. Perché un attacco malware si verificasse sull'impianto di arricchimento dell'uranio air gapped, qualcuno deve aver aggiunto consapevolmente o inconsapevolmente il malware in modo fisico, forse tramite una chiavetta USB infetta.

Quando un team di sicurezza dalla Bielorussia si recò a indagare su alcuni computer malfunzionanti in Iran, trovò un software malevolo altamente complesso. Questo aggressivo malware si sarebbe poi diffuso ulteriormente, e i ricercatori lo battezzarono col nome di Stuxnet, la "prima arma digitale del mondo".

Perché Stuxnet era così pericoloso?

Gli esperti definiscono Stuxnet un codice incredibilmente complesso e la prima cyber-arma al mondo. Potrebbe aver danneggiato fisicamente quasi 1000 centrifughe iraniane. Stuxnet funzionava infettando i controller logici programmabili (PLC) che controllavano le centrifughe e sabotandole.  

Le centrifughe girano a velocità straordinarie, creando una forza molte volte superiore alla gravità per separare gli elementi nel gas di uranio. Il worm manipolava la velocità operativa delle centrifughe, creando abbastanza stress per danneggiarle. Stuxnet si prendeva il suo tempo, aspettando settimane per rallentare le centrifughe dopo averle accelerate temporaneamente, rendendo le sue attività difficili da rilevare.

Stuxnet era anche difficile da rilevare perché era un malware completamente nuovo, una minaccia emergente senza firme conosciute. Inoltre, Stuxnet sfruttava più vulnerabilità zero-day, che sono falle di sicurezza del software non risolte.

Stuxnet inviava anche segnali falsi ai sensori di controllo dei processi industriali per nascondere la sua presenza e attività malevola. Inoltre, Stuxnet era anche in grado di installare un rootkit. I rootkit possono dare a un attore di minaccia il controllo del sistema nel suo nucleo. Con l'installazione di un rootkit, Stuxnet era più capace di azioni furtive.

Le migliori pratiche di cybersecurity per reti industriali

Misure di cybersecurity solide sono fondamentali per qualsiasi azienda. Le notizie sui cyber-attacchi sono regolarmente sui media, e non è sempre software malevolo che attacca software utile; come nel caso di Stuxnet, il malware può essere utilizzato per attaccare direttamente dispositivi elettromeccanici, hardware e infrastrutture.

Uno degli incidenti di cybersecurity più significativi del 2021 è stato un attacco ransomware che ha bloccato per quasi una settimana il più grande oleodotto degli Stati Uniti. È stato successivamente determinato che un'unica password compromessa aveva permesso l'attacco. Altri bersagli di attacchi ransomware durante l'anno includevano il più grande produttore di carne del mondo e il più grande servizio di traghetti del Massachusetts.

Che si tratti di ransomware, worm informatici, phishing, compromissione della posta elettronica aziendale (BEC) o di un'altra minaccia che ti toglie il sonno, puoi prendere misure per proteggere la tua azienda. Nella nostra missione di portare cyberprotezione a tutti, Malwarebytes offre soluzioni di sicurezza per aziende di tutte le dimensioni. Anche la tua azienda può adottare le migliori pratiche di sicurezza, come:

  • Applica una rigorosa politica di Bring Your Own Device (BYOD) che impedisce ai dipendenti e ai collaboratori di introdurre potenziali minacce.
  • Isola da reti esterne qualsiasi computer che potrebbe influenzare la sicurezza nazionale.
  • Isola da reti esterne tutti i sistemi legacy che fungono da interfacce umane.
  • Adotta un regime sofisticato di password con l’autenticazione a due fattori che ostacola attacchi di forza bruta e impedisce che password rubate diventino vettori di minaccia.
  • Proteggi i computer e le reti con le patch più recenti.
  • Usa software di cybersecurity con intelligenza artificiale e capacità di apprendimento automatico.
  • Applica backup e ripristino facili a ogni livello possibile per minimizzare le interruzioni, soprattutto per i sistemi critici.
  • Monitora costantemente processori e server alla ricerca di anomalie.
  • Prova una zona demilitarizzata (DMZ) per le reti industriali.
  • Informati sul whitelisting delle applicazioni per una sicurezza software migliorata.

Articoli correlati da Malwarebytes Labs

Se sei interessato a leggere di più sulla sicurezza informatica e sull'infrastruttura, dai un'occhiata ai seguenti articoli di Malwarebytes Labs: