Che cos'è Stuxnet?
Stuxnet è un worm informatico dannoso che è diventato famoso per il suo utilizzo per attaccare le strutture nucleari iraniane. L'attacco ha fatto notizia nel 2010, quando è stato scoperto per la prima volta. Come ha affermato Jérôme Segura, Senior Director of Threat Intelligence di Malwarebytes, nel suo articolo Stuxnet: new light through old windows, "Pochissime minacce informatiche hanno suscitato lo stesso tipo di attenzione mondiale di Stuxnet".
Pur essendo un worm informatico, Stuxnet è un software dannoso, ma è stato utilizzato per attaccare apparecchiature elettromeccaniche. Come nel caso dell'attacco principale in Iran, gli aggressori hanno usato Stuxnet per sfruttare molteplici vulnerabilità zero-day di Windows , cercare nei PC infetti una connessione al software che controllava le apparecchiature elettromeccaniche e inviare istruzioni destinate a danneggiare le apparecchiature. Mentre molti tipi di malware infettano un computer attraverso Internet, un'altra caratteristica unica dell'attacco Stuxnet in Iran è che il malware è stato introdotto nei PC tramite unità USB infette.
Stuxnet è un virus?
Molti chiamano il malware "virus Stuxnet" anche se non si tratta di un virus informatico, bensì di un worm informatico. Sebbene sia i virus che i worm siano tipi di malware in grado di corrompere i file, un worm informatico può essere molto più sofisticato. Per cominciare, a differenza di un virus, un worm non richiede l'interazione umana per attivarsi. Al contrario, si autopropaga, a volte in modo prolifico, dopo essere entrato in un sistema. Oltre a cancellare i dati, un worm può sovraccaricare le reti, consumare larghezza di banda, aprire una backdoor, ridurre lo spazio sul disco rigido e rilasciare altre minacce informatiche pericolose come rootkit, spyware e ransomware.
Che cos'è stato l'attacco Stuxnet in Iran?
Secondo il libro "Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon", nel 2010 gli ispettori dell'Agenzia per l'energia atomica in visita furono sorpresi di vedere molte centrifughe iraniane in avaria. Né gli iraniani né gli ispettori riuscirono a capire perché le apparecchiature prodotte dalla Siemens, progettate per arricchire l'uranio che alimenta i reattori nucleari, avessero un funzionamento così catastrofico.
Era difficile immaginare che il responsabile fosse un software maligno. Dopo tutto, gli impianti nucleari iraniani erano isolati dall'aria, il che significa che non erano collegati a una rete o a Internet. Affinché un attacco malware si verifichi nell'impianto di arricchimento dell'uranio, qualcuno deve aver aggiunto il malware fisicamente, consapevolmente o inconsapevolmente, magari attraverso una chiavetta USB infetta.
Quando un team di sicurezza bielorusso è andato a indagare su alcuni computer malfunzionanti in Iran, ha trovato un software dannoso molto complesso. Questo aggressivo malware si sarebbe in seguito diffuso in modo capillare e i ricercatori lo hanno soprannominato Stuxnet, la "prima arma digitale del mondo".
Perché Stuxnet era così pericoloso?
Gli esperti definiscono Stuxnet un codice incredibilmente complesso e la prima arma informatica al mondo. Potrebbe aver degradato fisicamente quasi 1000 centrifughe iraniane. Stuxnet ha funzionato infettando i controllori logici programmabili (PLC) che controllavano le centrifughe e sabotandole.
Le centrifughe girano a velocità straordinarie, creando una forza molte volte superiore alla gravità per separare gli elementi nel gas di uranio. Il worm ha manipolato la velocità di funzionamento delle centrifughe, creando uno stress sufficiente a danneggiarle. Stuxnet ha preso tempo, aspettando settimane per rallentare le centrifughe dopo averle temporaneamente accelerate, rendendo le sue attività difficili da rilevare.
Stuxnet è stato difficile da rilevare anche perché si trattava di un malware completamente nuovo, una minaccia emergente senza firme note. Inoltre, Stuxnet ha sfruttato molteplici vulnerabilità zero-day, ovvero falle di sicurezza del software non risolte.
Stuxnet ha anche inviato falsi segnali di sensori di controllo dei processi industriali per nascondere la sua presenza e la sua attività dannosa. Inoltre, Stuxnet è stato anche in grado di rilasciare una rootkit. I rootkit possono dare all'attore della minaccia il controllo di un sistema nel suo nucleo. Con un'installazione su rootkit , Stuxnet era più capace di agire in modo furtivo.
Le migliori pratiche di sicurezza informatica per le reti industriali
Le misure di sicurezza informatica sono fondamentali per qualsiasi azienda. Le notizie di cyberattacchi si susseguono regolarmente e non sempre si tratta di software maligni che attaccano software utili; come nel caso di Stuxnet, il malware può essere usato per attaccare dispositivi elettromeccanici, hardware e infrastrutture.
Uno degli incidenti di cybersecurity più rilevanti del 2021 è stato l'attacco ransomware che ha bloccato per quasi una settimana il più grande oleodotto degli Stati Uniti. In seguito è stato accertato che un'unica password compromessa ha permesso l'attacco. Altri obiettivi di attacchi ransomware nel corso dell'anno sono stati il più grande produttore di carne al mondo e il più grande servizio di traghetti del Massachusetts.
Che si tratti di ransomware, worm informatici, phishing, compromissione della posta elettronica aziendale (BEC) o di un'altra minaccia che vi tiene svegli la notte, potete prendere provvedimenti per proteggere la vostra azienda. Nella nostra missione di portare la protezione informatica a tutti, Malwarebytes offre soluzioni di sicurezza alle aziende di tutte le dimensioni. La vostra azienda può anche adottare le migliori pratiche di sicurezza, come ad esempio:
- Applicare una rigorosa politica BYOD (Bring Your Own Device) che impedisca a dipendenti e collaboratori di introdurre potenziali minacce.
- L'Air Gap è un computer che potrebbe avere ripercussioni sulla sicurezza nazionale.
- Air gap tutti i sistemi legacy che fungono da interfacce umane.
- Adottare un regime di password sofisticato con autenticazione a due fattori che impedisca gli attacchi di forza bruta e impedisca alle password rubate di diventare vettori di minacce.
- Proteggete i computer e le reti con le patch più recenti.
- Utilizzate un software di cybersicurezza alimentato dall'intelligenza artificiale con capacità di apprendimento automatico.
- Applicare backup e ripristino semplici a ogni livello possibile per ridurre al minimo le interruzioni, soprattutto per i sistemi critici.
- Monitorare costantemente processori e server per individuare eventuali anomalie.
- Provate a creare una zona demilitarizzata (DMZ) per le reti industriali.
- Cercate il whitelisting delle applicazioni per migliorare la sicurezza del software.
Articoli correlati da Malwarebytes Labs
Siete interessati a saperne di più sulla sicurezza informatica e sulle infrastrutture? Consultate i seguenti articoli di Malwarebytes Labs :
- Gli hacker tentano di avvelenare l'acqua potabile della città della Florida
- Compromettere un'infrastruttura vitale: la gestione dell'acqua
- Compromissione di infrastrutture vitali: la rete elettrica
- Malware che colpiscono gli impianti industriali: una minaccia per la sicurezza fisica
- Spiegato: Dirottatori WMI