Stuxnet

Stuxnet è un worm informatico usato per attaccare le infrastrutture nucleari iraniane. Scopri di più su questo significativo attacco informatico qui sotto.

ANTIVIRUS GRATUITO

Cos'è Stuxnet?

Stuxnet è un worm informatico dannoso che è diventato famoso per il suo utilizzo per attaccare le strutture nucleari iraniane. L'attacco ha fatto notizia nel 2010, quando è stato scoperto per la prima volta. Come ha affermato il Senior Director of Threat Intelligence di Malwarebytes, Jérôme Segura, nel suo articolo Stuxnet: new light through old windows, "pochissime minacce informatiche hanno suscitato un'attenzione mondiale pari a quella di Stuxnet".

Pur essendo un worm informatico, Stuxnet è un software dannoso, ma è stato utilizzato per attaccare apparecchiature elettromeccaniche. Come nel caso dell'attacco principale in Iran, gli aggressori hanno usato Stuxnet per sfruttare molteplici vulnerabilità zero-day di Windows , cercare nei PC infetti una connessione al software che controllava le apparecchiature elettromeccaniche e inviare istruzioni destinate a danneggiare le apparecchiature. Mentre molti tipi di malware infettano un computer attraverso Internet, un'altra caratteristica unica dell'attacco Stuxnet in Iran è che il malware è stato introdotto nei PC tramite unità USB infette.  

Stuxnet è un virus?

Molti chiamano il malware "virus Stuxnet" anche se non si tratta di un virus informatico, bensì di un worm informatico. Sebbene sia i virus che i worm siano tipi di malware in grado di corrompere i file, un worm informatico può essere molto più sofisticato. Per cominciare, a differenza di un virus, un worm non richiede l'interazione umana per attivarsi. Al contrario, si autopropaga, a volte in modo prolifico, dopo essere entrato in un sistema. Oltre a cancellare i dati, un worm può sovraccaricare le reti, consumare larghezza di banda, aprire una backdoor, ridurre lo spazio sul disco rigido e rilasciare altre minacce informatiche pericolose come rootkit, spyware e ransomware.

Che cos'era l'attacco Stuxnet in Iran?

Secondo il libro "Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon", nel 2010 gli ispettori dell'Agenzia per l'energia atomica in visita furono sorpresi di vedere molte centrifughe iraniane in avaria. Né gli iraniani né gli ispettori riuscirono a capire perché le apparecchiature prodotte dalla Siemens, progettate per arricchire l'uranio che alimenta i reattori nucleari, avessero un funzionamento così catastrofico.

Era difficile immaginare che un software malevolo fosse responsabile. Dopotutto, le strutture nucleari iraniane erano air gapped — cioè non erano connesse a una rete né a Internet. Perché un attacco malware si verificasse sull'impianto di arricchimento dell'uranio air gapped, qualcuno deve aver aggiunto consapevolmente o inconsapevolmente il malware in modo fisico, forse tramite una chiavetta USB infetta.

Quando un team di sicurezza dalla Bielorussia si recò a indagare su alcuni computer malfunzionanti in Iran, trovò un software malevolo altamente complesso. Questo aggressivo malware si sarebbe poi diffuso ulteriormente, e i ricercatori lo battezzarono col nome di Stuxnet, la "prima arma digitale del mondo".

Perché Stuxnet era così pericoloso?

Gli esperti definiscono Stuxnet un codice incredibilmente complesso e la prima cyber-arma al mondo. Potrebbe aver danneggiato fisicamente quasi 1000 centrifughe iraniane. Stuxnet funzionava infettando i controller logici programmabili (PLC) che controllavano le centrifughe e sabotandole.  

Le centrifughe girano a velocità straordinarie, creando una forza molte volte superiore alla gravità per separare gli elementi nel gas di uranio. Il worm manipolava la velocità operativa delle centrifughe, creando abbastanza stress per danneggiarle. Stuxnet si prendeva il suo tempo, aspettando settimane per rallentare le centrifughe dopo averle accelerate temporaneamente, rendendo le sue attività difficili da rilevare.

Stuxnet era anche difficile da rilevare perché era un malware completamente nuovo, una minaccia emergente senza firme conosciute. Inoltre, Stuxnet sfruttava più vulnerabilità zero-day, che sono falle di sicurezza del software non risolte.

Stuxnet ha anche inviato falsi segnali di sensori di controllo dei processi industriali per nascondere la sua presenza e la sua attività dannosa. Inoltre, Stuxnet era anche in grado di rilasciare un rootkit. I rootkit possono dare all'attore della minaccia il controllo di un sistema nel suo nucleo. Con un rootkit Stuxnet era più capace di agire in modo furtivo.

Le migliori pratiche di cybersecurity per reti industriali

Misure di cybersecurity solide sono fondamentali per qualsiasi azienda. Le notizie sui cyber-attacchi sono regolarmente sui media, e non è sempre software malevolo che attacca software utile; come nel caso di Stuxnet, il malware può essere utilizzato per attaccare direttamente dispositivi elettromeccanici, hardware e infrastrutture.

Uno degli incidenti di cybersecurity più rilevanti del 2021 è stato l'attacco ransomware che ha bloccato per quasi una settimana il più grande oleodotto degli Stati Uniti. In seguito è stato accertato che un'unica password compromessa ha permesso l'attacco. Altri obiettivi di attacchi ransomware nel corso dell'anno sono stati il più grande produttore di carne al mondo e il più grande servizio di traghetti del Massachusetts.

Che si tratti di ransomware, worm informatici, phishing, business email compromise (BEC) o di un'altra minaccia che vi tiene svegli la notte, potete prendere provvedimenti per proteggere la vostra azienda. Nella nostra missione di portare la protezione informatica a tutti, Malwarebytes offre soluzioni di sicurezza alle aziende di tutte le dimensioni. La vostra azienda può anche adottare le migliori pratiche di sicurezza, come ad esempio:

  • Applica una rigorosa politica di Bring Your Own Device (BYOD) che impedisce ai dipendenti e ai collaboratori di introdurre potenziali minacce.
  • Isola da reti esterne qualsiasi computer che potrebbe influenzare la sicurezza nazionale.
  • Isola da reti esterne tutti i sistemi legacy che fungono da interfacce umane.
  • Adottare un regime di password sofisticato con autenticazione a due fattori che impedisca gli attacchi di forza bruta e impedisca alle password rubate di diventare vettori di minacce.
  • Proteggi i computer e le reti con le patch più recenti.
  • Utilizzate un software di cybersicurezza alimentato dall'AI con capacità di apprendimento automatico.
  • Applica backup e ripristino facili a ogni livello possibile per minimizzare le interruzioni, soprattutto per i sistemi critici.
  • Monitora costantemente processori e server alla ricerca di anomalie.
  • Prova una zona demilitarizzata (DMZ) per le reti industriali.
  • Informati sul whitelisting delle applicazioni per una sicurezza software migliorata.

Articoli correlati da Malwarebytes Labs

Se sei interessato a leggere di più sulla sicurezza informatica e sull'infrastruttura, dai un'occhiata ai seguenti articoli di Malwarebytes Labs: