Se esiste una data nella storia dell’hacking che dovrebbe trovare posto in tutti i libri di storia quella data è un giorno imprecisato del 2009.
Erano gli anni in cui l’Occidente cominciava a guardare con giustificato sospetto il programma nucleare iraniano, teso secondo gli uni a costruire centrali nucleari, mentre per altri l’obbiettivo era quello di far entrare lo stato degli Ayatollah nella ristretta cerchia dei paesi dotati di un arsenale atomico.
Sulla scrivania della Casa Bianca sedeva il repubblicano George Bush, e sotto i suoi occhi passavano rapporti sempre più allarmanti. Una decisione andava presa!
Gli Israeliani che l’anno precedente avevano bombardato una centrale iraniana, spingevano perché gli Stati Uniti gli fornissero missili anti-bunker in grado di distruggere le strutture sotterranee come quelle dell’impianto di arricchimento dell’uranio di Natanz, ma la titubanza americana era giustificata dal rischio di scivolare troppo vicino ad una terza guerra mondiale.
Allora si cominciò a pensare ad un piano B, chiamato “Olympic Games“, che in caso di successo avrebbe permesso di ritardare di decenni i progetti iraniani e allo stesso tempo di impedire che chiunque potesse dichiarare un diretto coinvolgimento degli Stati Uniti, infatti l’arma non era una bomba, ma un software; si stava per registrare il primo atto di guerra informatica della storia.
A dire il vero vista la fluidità della materia non si può affermare con certezza che sia stata la prima azione di “guerra informatica“, ma sicuramente è stata il punto di svolta che ha letteralmente cambiato il mondo producendo conseguenze che nessuno aveva messo in conto, una sorta di nuovo “Progetto Manhattan“.
Per prima cosa l’Intelligence statunitense dovette pianificare con estrema precisione l’attacco; bisognava conoscere chi frequentava quella struttura, avere una idea chiara di chi erano i fornitori, di quali fossero le dotazioni informatiche, ma soprattutto bisognava circoscrivere l’attacco alle sole macchine che facevano girare le centrifughe utilizzate per l’arricchimento dell’uranio, in particolare si dovevano attaccare i computer che controllavano i PLC, Programmable Logic Controller, dispositivi utilizzati in ambito industriale per controllare i processi di produzione.
Inoltre si vociferava che anni prima gli americani avessero intercettato delle componenti hardware che erano destinate a Natanz e che manomettendone il software ne avevano causato la rottura non appena collegati alla rete; per evitare che la cosa si potesse ripetere non solo gli iraniani cambiarono fornitori, ma decisero che le macchine della centrale non fossero collegate ad Internet. Questa limitazione comportava un problema di non poco conto per gli americani, visto che per lanciare l’attacco qualcuno doveva fisicamente attaccare una chiavetta USB infetta ad un computer della centrale. Come venne aggirato l’ostacolo ad oggi è frutto di ipotesi, la più accreditata è che ci sia lo zampino del Mossad israeliano, ma la verità la si potrà scoprire, forse, nel 2039 quando verranno declassificati i documenti americani.
In ogni per una ostacolo da affrontare il fatto che gli iraniani utilizzassero macchine windows permise agli americani di attingere al loro arsenale di vulnerabilità zero-day per infettare la rete interna dello stabilimento, ossia vulnerabilità scoperte da qualche hacker, ma ancora sconosciute agli ingegneri dei produttori di sistemi operativi e software. Questo ovviamente permette agli hacker di sfruttarle sino a quando qualcuno non si accorge delle loro presenza e corre ai ripari.
L’attacco richiedeva inoltre la creazione di un worm, ossia un malware capace di sfruttare gli zero-day per propagarsi autonomamente nella rete interna della centrale, rintracciare i propri target e infettarli con un altro malware, payload, che aveva il compito di far girare le turbine di arricchimento dell’uranio ad una velocità che ne causasse la rottura e nelle stesso tempo ingannasse gli operatori facendogli credere che stessero lavorando correttamente.
L’attacco parti del 2009, qualcuno introdusse una chiavetta in un computer di Natanz facendo scattare il primo zero-day che scaricava il malware sfruttando la funzione di windows che visualizza le icone dei documenti presenti sulla chiavetta (file .LNK).
A questo punto sfruttando altri zero-day il worm si propagò alla ricerca dei computer che controllavano dei PLC di produzione Siemens e cominciò a manipolarli perché, senza destare troppi sospetti, le centrifughe cominciassero pian piano a rompersi con maggiore frequenza.
Chi fosse interessato ai dettagli tecnici dell’attacco può trovare in rete molte informazioni riguardo l’attacco oppure leggere il bellissimo “Cosi mi hanno detto che finirà il mondo” di Nicole Perlroth(cap 9. Il Rubicone); a noi interessa spendere due parole sulle conseguenze inattese di questo attacco e del perché l’attacco con “Stuxnet“, il nome dato al malware usato a Natanz, ha rappresentato un momento storico degno di finire sui libri.
Innanzi tutto gli effetti dell’attacco nonostante le precauzioni americane si sentirono anche nel resto del mondo, in un qualche modo Stuxnet riusci ad uscire dalla centrale iraniana e si diffuse nel mondo infettando i PLC Siemens, offrendo agli hacker la possibilità di crearne varianti di cui ancora in anni recenti se ne hanno traccia, ma soprattutto fu l’attacco che comincio a mettere in crisi l’indiscussa superiorità americana nel campo della guerra informatica.
Se da una parte rese coscienti le altre super-potenze (Cina e Russia) dell’importanza che aveva assunto l’informatica e le sue attività ostili nello scacchiere globale dando slancio ad un mercato mondiale degli zero-day e consistenza alle teorie di guerra non-lineare sintetizzate nella Dottrina Gerasimov ; dall’altra mise in evidenza come utilizzare un arsenale informatico garantisse un vantaggio effimero visto che lo strumento utilizzato per un attacco diventava uno strumento nella mano di chi veniva attaccato pareggiando di fatto la situazione.
Il vaso di Pandora era stato aperto!
