L'Iran era il principale obiettivo del worm SCADA

Computer in Iran sono stati colpiti più duramente da un pericoloso worm informatico che cerca di sottrarre informazioni ai sistemi di controllo industriale.

Secondo i dati compilati da Symantec, circa il 60% di tutti i sistemi infettati dal worm si trovano in Iran. Anche l'Indonesia e l'India sono state colpite dal software dannoso, noto come Stuxnet.

Guardando le date sulle firme digitali generate dal worm, il software dannoso potrebbe essere in circolazione da gennaio, ha detto Elias Levy, direttore tecnico senior con Symantec Security Response.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Stuxnet è stato scoperto il mese scorso da VirusBlokAda, una società di antivirus bielorussa che ha dichiarato di aver trovato il software su un sistema appartenente a un cliente iraniano. Il worm cerca i sistemi di gestione Siemens SCADA (controllo di supervisione e acquisizione dati), utilizzato in grandi impianti di produzione e utilità, e tenta di caricare segreti industriali su Internet.

Symantec non è sicura del motivo per cui l'Iran e gli altri paesi stanno segnalando così tante infezioni "Il massimo che possiamo dire è che chiunque abbia sviluppato queste particolari minacce si rivolgeva alle aziende in quelle aree geografiche", ha detto Levy.

Gli Stati Uniti hanno un lungo embargo commerciale contro l'Iran. "Sebbene l'Iran sia probabilmente uno dei paesi che ha le peggiori infezioni di questo, probabilmente sono anche un posto dove non hanno molto AV adesso", ha detto Levy.

Siemens non direbbe quanti clienti ha in Iran, ma l'azienda ora dice che due società tedesche sono state infettate dal virus. Uno scanner di virus gratuito pubblicato da Siemens all'inizio di questa settimana è stato scaricato 1.500 volte, ha detto un portavoce della società.

All'inizio di quest'anno, Siemens ha annunciato di voler ridurre il business iraniano: un'unità da 290 dipendenti che ha incassato 438 milioni di euro (562,9 milioni di dollari) nel 2008, secondo il Wall Street Journal. I critici sostengono che il commercio dell'azienda lì ha contribuito a alimentare lo sforzo di sviluppo nucleare dell'Iran.

Symantec ha compilato i suoi dati lavorando con l'industria e reindirizzando il traffico destinato ai server di comando e controllo del worm ai propri computer. Durante un periodo di tre giorni questa settimana, i computer con 14.000 indirizzi IP hanno tentato di connettersi con i server di comando e controllo, indicando che un numero molto piccolo di PC in tutto il mondo è stato colpito dal worm. Il numero effettivo di macchine infette è probabilmente compreso tra 15.000 e 20.000, poiché molte aziende collocano diversi sistemi dietro un indirizzo IP, secondo Levy di Symantec.

Perché Symantec può vedere l'indirizzo IP utilizzato dalle macchine che tentano di connettersi con comando e controllo server, può dire quali aziende sono state infettate. "Non sorprende che le macchine infettate includano una varietà di organizzazioni che utilizzerebbero software e sistemi SCADA, che è chiaramente l'obiettivo degli aggressori", ha detto nel suo blog post giovedì.

Stuxnet si diffonde tramite dispositivi USB. Quando una chiavetta USB infetta viene visualizzata su una macchina Windows, il codice cerca un sistema Siemens e si copia su qualsiasi altro dispositivo USB che trova.

Una soluzione temporanea per il bug di Windows che consente a Stuxnet di diffondersi può essere trovata qui.

Robert McMillan copre le ultime notizie relative alla sicurezza informatica e alla tecnologia generale per Il servizio di notizie IDG. Segui Robert su Twitter all'indirizzo @bobmcmillan. L'indirizzo e-mail di Robert è [email protected]