Nel 2010, Stuxnet si rivela al mondo. All'epoca dell'attacco, il worm Stuxnet colpì il sistema automatico di controllo delle centrifughe in un impianto iraniano di arricchimento dell'uranio, mettendo in luce in modo eclatante la vulnerabilità degli ambienti industriali alle minacce informatiche. Ancor più scioccante fu rendersi conto che l’episodio era stato innescato da una semplice chiavetta USB, infetta, ampliando così la portata della minaccia a tutto il panorama industriale mondiale. Oltre dieci anni dopo, le infrastrutture di JBS Foods (settore agroalimentare) e Colonial Pipeline (settore energetico) sono state vittime di attacchi informatici che hanno compromesso le loro linee di produzione per settimane.
Nel corso degli anni, il modus operandi dei pirati informatici si è evoluto, sebbene fra i loro obiettivi principali rimangano sempre i sistemi di controllo degli impianti industriali. In questo articolo analizziamo l'impatto del worm Stuxnet nel 2010 e l'eredità che ha lasciato sia ai criminali informatici sia agli industriali.
Stuxnet: l'incubo degli ambienti industriali
Cos'è dunque Stuxnet? Nel giugno 2010, questo worm è stato rilevato su un computer appartenente a un dipendente della centrale nucleare di Bouchehr, in Iran. Il suo obiettivo era riprogrammare i robot industriali di marca Siemens, al fine di alterare il corretto funzionamento delle centrifughe e arrestare così il programma di arricchimento nucleare iraniano, all’epoca in fase di sviluppo.
Responsabile di aver infettato 30.000 risorse informatiche in tutto il Paese, il worm è stato successivamente rilevato in Germania, Francia, India e Indonesia, aumentando il numero di dispositivi compromessi fino a 45.000. Eppure, per sua stessa concezione, Stuxnet avrebbe dovuto essere un malware non rilevabile. Aveva infatti la capacità di analizzare le comunicazioni inviate ai PLC e di installarsi su un host attraverso uno spostamento laterale. Per raggiungere questo obiettivo, gli aggressori informatici avevano analizzato il meccanismo di funzionamento dei protocolli di comunicazione OT scoprendo lacune tecnologiche relative all'autenticazione. "Nel loro attacco, i creatori di Stuxnet hanno sfruttato la mancanza di autenticazione e crittografia nel protocollo Siemens S7, nonché l'assenza di un controllo anti-replay", spiega Marco Genovese, tecnico di prevendita ed esperto del settore presso Stormshield. "Questa vulnerabilità ha sollevato l'urgenza di introdurre un livello di sicurezza adeguato nei protocolli IoT. In risposta, è stata sviluppata la seconda versione del protocollo, nota come S7 Plus. Ciononostante, molte imprese industriali utilizzano purtroppo ancora la versione 2010 del protocollo." Basato sull'utilizzo di una serie di vulnerabilità zero-day nel sistema operativo Windows e rivolto al sistema di supervisione, controllo e acquisizione dati (SCADA), questo attacco informatico è stato ampiamente considerato come il primo tentativo di alterare il funzionamento di macchinari industriali in un ambiente altamente sicuro. All'epoca, compromettere un sistema di controllo industriale non connesso a Internet sembrava un compito estremamente complesso, dato che nel 2010 gli attacchi si concentravano principalmente su settori informatici più convenzionali, dove l'accesso diretto a Internet era una caratteristica comune. Stuxnet è stato il primo attacco conosciuto a prendere di mira gli ambienti IoT, evidenziando la possibilità che gli ambienti industriali potessero diventare vittime di tali minacce. Prima di questo episodio, la complessità dell'ambiente industriale e le difficoltà di implementazione suggerivano che attaccare un obiettivo del genere non rappresentasse un investimento utile.
Inoltre, lo sviluppo del malware ha richiesto notevoli risorse finanziarie e umane per comprendere il funzionamento del programma di arricchimento nucleare iraniano e l'infrastruttura tecnologica di Siemens. Un impegno notevole, che ha permesso di sviluppare diversi livelli di compromissione, con l'obiettivo di raggiungere il PLC S7-300 responsabile dei controller di velocità delle centrifughe, nella catena di produzione. Per Ilias Sidqui, consulente senior di Wavestone, la complessità dell'attacco non lascia dubbi sulla sua attribuzione a un'autorità statale: "Lo sviluppo di questo malware ha richiesto la realizzazione di un modello identico, con l'acquisto di attrezzature industriali molto costose e la conoscenza delle versioni delle macchine utilizzate in Iran. Questi parametri estremamente complessi suggeriscono chiaramente che solo uno o più Stati avrebbero potuto avere le risorse e le competenze necessarie per uno sforzo di tale portata." Combinazione di diversi attacchi zero-day, compromissione di un sistema informatico tramite chiavetta USB, spostamento laterale, usurpazione dell'accesso di un amministratore, possibilità di riprogrammare un PLC... Senza rendersene conto, questo worm stava gettando le basi per una nuova complessità della criminalità informatica.
Nel raggiungere i propri obiettivi principali, Stuxnet ha segnato la storia della geopolitica. "Bisogna riconoscere che c'è stato un prima e un dopo Stuxnet. Anche gli alleati della NATO non si sono sbagliati quando, nel luglio 2016, al vertice di Varsavia, hanno riconosciuto il cyberspazio come campo di operazioni militari a sé stante, proprio come la terra, il mare o il cielo", afferma Fabien Miquet, Responsabile della Sicurezza dei Prodotti e delle Soluzioni presso Siemens. Tuttavia, questo worm ha lasciato un segno anche nella storia della sicurezza informatica, grazie ai suoi retaggi tecnologici e strategici, successivamente riutilizzati dai principali gruppi di aggressori per molti anni a venire.
Gli eredi di Stuxnet
La dimostrazione della fattibilità di un attacco di questo tipo e la natura innovativa del modus operandi hanno inevitabilmente influenzato i criminali informatici del periodo successivo a Stuxnet. Dodici anni dopo la sua scoperta, il carattere tecnico e la difficoltà di implementazione ne fanno ancora un caso da manuale. Come capostipite di una famiglia di malware sempre più numerosa, sarà per sempre ricordato come il primo worm dedicato alla compromissione dei sistemi di controllo industriale.
La sua capacità di infiltrarsi e compromettere un sistema altamente protetto ispirerà tantissimi aggressori che cercheranno di emularlo nei mesi successivi, riproducendone e adattandone il codice per i loro scopi. Sebbene le tecniche e i vettori di attacco fossero diversi, l'obiettivo rimarrà lo stesso in molti degli attacchi informatici che si susseguiranno in tutto il mondo: prendere di mira i sistemi di automazione industriale. Dalla Russia all'Iran, questi malware saranno classificati in una specifica categoria nota come "Stuxnet-like". Nel 2012, Saudi Aramco e RasGas subirono un attacco informatico attribuito allo Stato iraniano. Rispetto a Stuxnet era stata introdotta una innovazione: l'uso di un ransomware, in questo caso Shamoon, per paralizzare l'attività di queste aziende. Nel 2013 venne compromesso il sistema di controllo delle chiuse della diga di Bowman, negli Stati Uniti. Secondo un' inchiesta del Wall Street Journal, questo attacco fu una risposta delle autorità iraniane a Stuxnet. Nel 2015, fu la volta dei forni di un'acciaieria in Germania, anch'essa vittima di un attacco informatico. Definito dall'intelligence tedesca come un attacco "Stuxnet-like", i dettagli e il relativo impatto non saranno resi noti. Nello stesso periodo, anche l'Ucraina subì diversi attacchi, questa volta mirati agli impianti elettrici del Paese rispettivamente con i malware "Black Energy" e "CrashOverride" nel 2015 e "Triton" nel 2017. Questi attacchi sono stati ricondotti alle azioni di gruppi di criminali informatici russi, ma soprattutto hanno evidenziato come la minaccia si stia evolvendo nel tempo. "Se l'attacco Black Energy ha dimostrato la possibilità di danneggiare una centrale elettrica senza aver bisogno di particolari conoscenze di messaggi industriali, Triton ha evidenziato la vulnerabilità del sistema di protezione della rete IoT stessa", spiega Marco Genovese.
Oltre agli attacchi informatici, il modus operandi di Stuxnet ha influenzato anche i ricercatori nell’ambito della sicurezza informatica. Nel 2015, alcuni ricercatori tedeschi hanno sviluppato un altro worm, chiamato PLC Blaster, in grado di colpire l'ultima generazione di PLC della gamma Siemens S7, adottando parte dell'approccio di Stuxnet senza il collegamento di un host alla rete industriale. Il malware PLC Blaster infatti riesce ad attaccare i PLC direttamente tramite il protocollo TCP/IP. Presentato alla conferenza Black Hat USA, l'esperimento ha messo in luce la vulnerabilità degli ambienti industriali e la facilità con cui questo worm può diffondersi da un'apparecchiatura all'altra.
Stuxnet potrebbe ancora mietere vittime?
Esiste la possibilità di un attacco simile oggi? Una domanda pertinente, alla quale Ilias Sidqui risponde in modo diretto: "Uno scenario di tipo Stuxnet è ancora plausibile nel 2022. Questo perché il principio rimane lo stesso: le vulnerabilità zero-day sono e saranno sempre presenti, offrendo ai criminali informatici un vantaggio offensivo." Quindi un attacco è ancora possibile, ma non più necessariamente contro le industrie nucleari, spiega Marco Genovese: "Al giorno d'oggi è certamente più difficile sferrare un attacco paragonabile a Stuxnet a una centrale nucleare, ma le ultime azioni in Ucraina dimostrano che ora è possibile colpire le reti energetiche fisiche (acqua, gas, elettricità). “
Va inoltre sottolineato che gli ultimi attacchi informatici significativi non hanno utilizzato metodologie operative molto avanzate. Basti pensare a quelli perpetrati ai danni di Colonial Pipeline e JBS Foods, obiettivamente più opportunistici che premeditati. Nel primo caso è stata sfruttata una password trapelata sul darkweb e nel secondo una vulnerabilità nota in uno strumento di connessione remota, con un grado di difficoltà in termini di penetrazione e implementazione di gran lunga inferiore a quello di Stuxnet. Questo perché, di fatto, la superficie di attacco delle aziende industriali sta aumentando. Una tendenza che negli ultimi anni è stata spronata dall'adozione della convergenza IT/OT nei sistemi informatici. Una manna dal cielo per i criminali informatici. "Al giorno d'oggi, gli ambienti IT e gli uffici tradizionali sono interconnessi con gli ambienti OT industriali", spiega Ilias Sidqui. “Si tratta di un gateway utilizzato anche da gruppi di criminali informatici, per cui non sono più necessari sviluppi specifici o ricerche di vulnerabilità zero-day. Ecco perché stiamo assistendo a un numero sempre maggiore di attacchi ransomware rivolti agli ambienti industriali." “In definitiva, la digitalizzazione accelerata crea opportunità per tutti: per voi, per me, per i nostri clienti... ma anche per gli aggressori dei nostri sistemi sempre più connessi", aggiunge Fabien Miquet. “Lungi dall'essere inevitabile, dobbiamo solo esserne consapevoli e abbiamo il dovere di lanciare l'allarme: non c'è digitalizzazione senza sicurezza informatica!“
Ma in che misura il settore industriale è pronto a far fronte a questa minaccia? Secondo Gartner, il 60% degli attacchi che avranno successo nel 2020 si baserà sullo sfruttamento di vulnerabilità note ma non patchate... Nel nostro barometro 2021 dedicato alla sicurezza informatica nelle reti operative, il 51% degli intervistati ha dichiarato di aver subito almeno un attacco, mentre il 27% ha già subito un blocco o un'interruzione della produzione. Nonostante le soluzioni di protezione siano molteplici (rilevamento delle vulnerabilità, gestione delle patch, segmentazione della rete, formazione, ecc.), sembra che si stiano scontrando con le difficoltà di implementazione negli ambienti industriali. Lo conferma Fabien Miquet: "È una vera sfida mettere in sicurezza un impianto il cui scopo ultimo non è sviluppare le proprie tecnologie, ma produrre in modo stabile e duraturo. Il fatto che queste tecnologie siano "insecure by design", ovvero il fatto che funzionino “bene” da trenta o quarant'anni ma non siano state progettate per implementare la sicurezza informatica, è purtroppo una motivazione sufficiente per molti produttori odierni per non aggiornarle. Le mentalità aziendali non si evolvono tutte allo stesso ritmo, e ciò dipende spesso dalla frequenza con cui si verificano gli attacchi informatici. In risposta a questi eventi, Siemens ha implementato nuovi meccanismi di protezione nelle sue macchine. Per raggiungere questo obiettivo, abbiamo introdotto nel nostro ambiente IT le migliori pratiche, ad esempio per quanto riguarda i nostri PLC, che ora utilizzano il protocollo di crittografia TLS, noto e riconosciuto per la sua robustezza.“
Senza saperlo, gli autori dell'attacco Stuxnet del 2010 hanno influenzato notevolmente la complessità degli attacchi informatici negli ambienti OT. L'interconnessione tra i sistemi informatici e quelli operativi offre agli aggressori una maggiore superficie di attacco e la possibilità di spostarsi agilmente tra questi due ambienti. Sarà interessante vedere come i responsabili OT si adatteranno nei prossimi anni per garantire la coesistenza del debito tecnico, di ambienti IoT e IT, dell'uso di nuove tecnologie e della sicurezza informatica. Tutto un programma!