Worm industriale Stuxnet è stato scritto più di un anno fa

Un sofisticato worm progettato per rubare segreti industriali è in circolazione da molto più tempo di quanto si pensasse, secondo gli esperti di sicurezza che studiavano il software dannoso.

Chiamato Stuxnet, il worm era sconosciuto fino a metà luglio, quando è stato identificato dagli investigatori con VirusBlockAda, un fornitore di sicurezza con sede a Minsk, in Bielorussia. Il worm è notevole non solo per la sua raffinatezza tecnica, ma anche per il fatto che si rivolge ai computer del sistema di controllo industriale progettati per gestire fabbriche e centrali elettriche.

Ora i ricercatori di Symantec affermano di aver identificato una versione anticipata del worm creato nel giugno 2009 e che il software dannoso è stato reso molto più sofisticato nella prima parte del 2010.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Questa versione precedente di Stuxnet agisce allo stesso modo della sua attuale incarnazione - cerca di connettersi con i sistemi di gestione SCADA (controllo di supervisione e acquisizione dati) e rubare dati - ma non usa alcune delle tecniche più straordinarie del worm per eludere il rilevamento e l'antivirus si installa su sistemi Windows. Queste funzionalità sono state probabilmente aggiunte qualche mese prima che venisse scoperto l'ultimo worm, ha dichiarato Roel Schouwenberg, un ricercatore con il fornitore di antivirus Kaspersky Lab. "Questo è senza dubbio l'attacco mirato più sofisticato che abbiamo visto finora", ha detto.

Dopo la creazione di Stuxnet, i suoi autori hanno aggiunto un nuovo software che gli ha permesso di diffondersi tra i dispositivi USB praticamente senza alcun intervento da parte della vittima. E in qualche modo sono riusciti a mettere le mani sulle chiavi di crittografia appartenenti alle società di chip Realtek e JMicron e a firmare digitalmente il malware, così che gli scanner antivirus avrebbero avuto più difficoltà a rilevarlo.

Realtek e JMicron hanno entrambi uffici nella scienza di Hsinchu Park a Hsinchu, Taiwan, e Schouwenberg crede che qualcuno possa aver rubato le chiavi fisicamente accedendo ai computer delle due compagnie.

Gli esperti di sicurezza dicono che questi attacchi mirati sono in corso da anni, ma solo recentemente hanno iniziato ad attirare attenzione, dopo che Google ha rivelato di essere stato preso di mira da un attacco noto come Aurora.

Sia Aurora che Stuxnet sfruttano difetti "zero-day" senza patch nei prodotti Microsoft. Ma Stuxnet è tecnicamente più notevole dell'attacco di Google, ha detto Schouwenberg. "Aurora ha avuto un giorno zero, ma è stato un giorno zero contro IE6", ha detto. "Qui c'è una vulnerabilità che è efficace contro ogni versione di Windows da Windows 2000".

Lunedì, Microsoft si è affrettata a pubblicare una patch per la vulnerabilità di Windows che Stuxnet utilizza per diffondersi da un sistema all'altro. Microsoft ha rilasciato l'aggiornamento proprio come il codice di attacco Stuxnet ha iniziato a essere utilizzato in attacchi più virulenti.

Anche se Stuxnet avrebbe potuto essere utilizzato da un contraffattore per rubare segreti industriali - dati di fabbrica su come realizzare mazze da golf, ad esempio - Schouwenberg sospetta che uno stato nazionale sia dietro gli attacchi.

Ad oggi, Siemens afferma che quattro dei suoi clienti sono stati infettati dal worm. Ma tutti quegli attacchi hanno influenzato i sistemi di ingegneria, piuttosto che qualsiasi cosa sul pavimento della fabbrica.

Sebbene la prima versione del worm sia stata scritta nel giugno 2009, non è chiaro se quella versione fosse usata in un attacco del mondo reale. Schouwenberg crede che il primo attacco possa essere avvenuto già nel luglio 2009. Il primo attacco confermato che Symantec conosce le date di gennaio 2010, ha dichiarato Vincent Weafer, vicepresidente della tecnologia di sicurezza e risposta di Symantec.

La maggior parte dei sistemi infetti è in Iran, ha aggiunto, anche se sono stati colpiti anche India, Indonesia e Pakistan. Questo di per sé è altamente inusuale, ha detto Weaver. "È la prima volta in 20 anni che ricordo che l'Iran si è mostrato così pesantemente."

Robert McMillan copre le ultime notizie relative alla sicurezza informatica e alla tecnologia generale per Il servizio di notizie IDG. Segui Robert su Twitter all'indirizzo @bobmcmillan. L'indirizzo e-mail di Robert è [email protected]