Storia dei conflitti cibernetici. NITRO ZEUS: il dopo STUXNET che portò ad un livello superiore la Cyber-War

Alessio Stefan : 7 Maggio 2024 07:25

Il mondo militare e quello dell’hacking sono profondamente intrecciati perché condividono la stessa radice: l’analisi, l’anticipazione e il superamento delle strategie avversarie ed in caso di necessità, entrambe le discipline possono richiedere di assumere il ruolo di antagonista.

Il concept di “OPSEC” è un insieme di tecniche e procedure porte all’ottenimento di una decisione militare il più informata possibile. Questo ha molto da condividere con le fasi di enumeration, reconnaissance e OSINT utilizzate dai pentester durante gli engagement (legali o non).

Tuttavia, ciò che accomuna davvero questi due mondi è la condivisione di una mentalità offensiva, ma condotta con metodo e rigore. Ogni scelta deve essere ponderata alla luce delle precedenti e tenendo conto di possibili scenari futuri.

Stuxnet ha cambiato il modo di vedere le armi

Supporta Red Hot Cyber attraverso

Seguendo RHC su Telegram

L’identica natura dei due mondi comporta anche ad identici confini etici tra bene e male, l’inevitabile danno che ne può derivare dipende dal “perché” e non dal “come” o dallo studio di tecniche offensive. Stuxnet ha distrutto l’ultima resile linea di confine che divideva militari e i red teamers digitali aggiungendo cambiamenti di calibro geopolitico il tutto tramite cambiamenti di voltaggio che noi interpretiamo come bit.

Il dibattito etico e legale sull’utilizzo di vere e proprie tecniche di hacking in ambiti politici e militari con alto grado di pericolo continua a far discutere tutt’oggi le due industrie. L’NSA fu titubante riguardo all’attacco a Natanz, ma ciò che ha determinato un vero e proprio cambio di visione non è stato il progetto Olympic Games in sé, bensì tutto ciò che era stato predisposto in vista di un suo fallimento. Per il nome di questo piano B venne scelto NITRO ZEUS.

Nemmeno chi era parte del progetto sapeva esattamente per cui stava lavorando. Il tutto è rimasto nascosto fino a quando, nel documentario ZERO DAYS (Alex Gibney, 2016), una fonte anonima dell’NSA ha ammesso l’esistenza di un piano di proporzioni enormi rispetto al Worm di Natanz. L’operazione è stata descritta come complessa, dispendiosa e mirata a un vasto numero di target, con il potenziale di danneggiare “l’intero Iran”. Da quel momento, seppur con le poche prove a disposizione, si è creato un piccolo spiraglio che rende più che mai necessario rivalutare Stuxnet e la nostra percezione della security degli asset informatici e digitali.

Il post-stuxnet e il progetto Nitro Zeus

Le prime pianificazioni di Nitro Zeus risalgono al 2005-2006, durante l’amministrazione Bush. Tuttavia, solo sotto la presidenza Obama il ROC (Remote Operations Center, NSA) ha ottenuto l’approvazione per penetrare in obiettivi militari e civili in Iran. Nitro Zeus ha richiesto una spesa economica e un dispiegamento di personale molto onerosi rispetto ad altri progetti simili, come testimoniato dalla fonte anonima nel documentario Zero Days (“We spent hundreds of millions, maybe billions on it […] hundred of personal involved”).

Potenzialmente, il post-stuxnet poteva sfociare in un conflitto cinetico se non avesse raggiunto la mitigazione dei piani nucleari iraniani. Per questo motivo, il presidente Obama richiese l’elaborazione di una strategia di contenimento volta a minimizzare l’uso della forza armata e, al contempo, a predisporre una risposta al possibile fallimento dei negoziati P5+1 del 2015. In quell’occasione, l’Iran promise di rallentare il programma di arricchimento dell’uranio finalizzato alla produzione di armi nucleari, spingendo l’NSA e il Cyber Command ad accantonare definitivamente il progetto. Non fu necessario mettere in ginocchio tutte e 5 le regioni dell’Iran, ma l’operazione era pronta e attendeva solo l’ordine di esecuzione.

Il progetto Nitro Zeus nel dettaglio

In cosa consisteva il progetto Nitro Zeus?

Rispondere è complesso perché il progetto mantiene ancora oggi un alto livello di segretezza elevata. Tuttavia, grazie a fonti anonime (non completamente attendibili ma comunque credibili) con contatti diretti o indiretti con la NSA, è stato possibile ricostruire alcuni frammenti di questo complesso mosaico.

Oltre al volume della spesa ci fu un alto grado di ricerca e pianificazione. Gli obiettivi venivano scelti durante la fase di design (al contrario di stuxnet) dove più si avanzava più questi ultimi aumentavano, fino a raggiungere le centinaia di migliaia di implant installati. Questi implant venivano installati dopo il penetration testing eseguito personalmente dal ROC oppure è stato riportato l’uso di “electronic implant” iniettati nelle infrastrutture iraniane tramite un uso consistente di risorse umane e tecniche di intelligence.

Questi “implant” venivano controllati giornalmente per confermare la continua attività ed assenza di bug. Ogni implant doveva essere pronto ad agire a comando, monitorare la rete nella quale è stato inserito e riportare tutte le attività eseguite dagli utenti al centro di comando. La fase di design creò dubbi tra i piani alti del NSA specialmente dal lato etico e legale non solo per il grado di distruzione (disrupt) che questi implant dovevano essere in grado di produrre ma soprattutto per il tipo di obiettivi scelti compresi “risorse civili” non meglio identificate.

Questo rende Stuxnet una semplice demo ben riuscita di un progetto molto più ampio e dannoso specialmente per i civili ed il contesto nella quale Nitro Zeus sarebbe dovuto entrare in atto, l’intero internet-backbone dell’iran era sotto controllo e pronto per essere disattivato.

Non si hanno molti tecnicismi sugli implant ma è risaputo che erano stati programmati in maniera tale da evitare di interferire con i processi legittimi della vittima ma oltre a ciò nessuna ulteriore informazione è stata leakata. Per tutta la durata del progetto, dalla sua ideazione fino al suo disassemblamento, la sigla DDD (Disrupt, Degrade & Destroy) fu usata per definire il livello di danno che si poteva (e voleva) creare incluso un progetto molto simile a Stuxnet il che rende quest’ultimo ancora più “piccolo” rispetto al potenziale di Nitro Zeus.

L’obiettivo non era solo la centrale di Natanz

Oltre a Natanz un altro obiettivo molto ambito dai nemici del piano nucleare iraniano fu preso di mira, questo obiettivo era il Fordow Fuel Enrichment Plant (FFEP). Il progetto FFEP è stato posizionato nel sottosuolo della città di Qom, rendendolo molto più difficile da attaccare rispetto a Natanz. È stato creato un worm simile a Stuxnet che avrebbe dovuto attivarsi all’avvio del progetto. Non è stato né smentito né confermato se un impianto sia riuscito ad essere inserito o meno, ma nel documentario Zero Days venne descritto come un “fallimento“. Infine fu stato leakato (ma non c’è stato modo di verificarlo) anche sistemi finanziari interni all’Iran ad essere nel mirino dell’intelligence americana ed israeliana.

La più grande lezione da trarre da questo capitolo criptico (forse il più criptico nel mondo della sicurezza informatica) è che se ciò che ci ha già colpito ci incute timore, dovremmo temere ancora di più ciò che ancora non ci ha toccati.

L’Iran si trovava, di fatto, stretto nella morsa di una forza invisibile pronta a scatenarsi in qualsiasi istante. Gli accordi P5+1 erano stati elaborati sulla base del presupposto che l’Iran ne accettasse incondizionatamente i termini. Un rifiuto da parte iraniana avrebbe significato un bombardamento che avrebbe disattivato tutte le difese militari e i sistemi di supporto ai cittadini, causando caos, sofferenza e danni a chiunque all’interno dei confini iraniani, grazie all’impiego del programma Nitro Zeus..

I malware creati non dovevano spiare gli user o forzare uno sblocco dei dati tramite un pagamento oneroso ma un blocco di un servizi come telecomunicazioni, acqua ed elettricità avrebbe creato un danno diretto all’intera popolazione rendendolo diverso anche dai metodi di guerra “tradizionali” (come esempio lo shutdown del internet backbone siriano da parte degli USA nel 2012). Efficace, economico e su larga scala.

Conclusioni

Se Stuxnet per la prima volta ha indotto a riconsiderare i metodi di attacco da parte di uno Stato contro un altro Stato sovrano, Nitro Zeus li ha portati a un livello superiore, creando un nuovo standard militare in cui le vittime non sarebbero state in grado di risalire all’autore dell’attacco informatico e di rendersi impotenti di fronte ad un bombardamento.

Gli Stati Uniti conoscevano meglio le reti iraniane degli iraniani stessi e la sicurezza digitale non era abbastanza matura da poter prevedere un attacco del genere, ma come spesso accade, sono i traumi a far crescere. Nitro Zeus ha ancora molto da rivelare, una pagina buia che affascina e spaventa allo stesso tempo, più per ciò che non è ancora stato scoperto che per i pochi fatti venuti alla luce

L’arte della guerra non ha limiti rendendo l’informatica la sua anima affine con un’alta potenzialità e l’unico modo per poter veicolare questa fusione pericolosa è unirsi al dibattito all’interno dell’industria, sta a noi decidere se un futuro Nitro Zeus può essere contrastato o mettere in ginocchio una intera popolazione. Il campo della security ha bisogno di idee, mentalità e discussioni specialmente su temi complessi come questi dove il singolo byte può fare la differenza tra distruzione o prosperità.

Alessio Stefan
Studente magistrale di AI & Cybersecurity e CTF player con la passione per l’ethical hacking che lo accompagna sin da giovane età. Trascorre le sue giornate immerso nello studio e scoperta di nuovi metodi di attacco con la giusta dose di pratica. Convinto che l’hacking sia una cultura ne applica i principi non solo nel mondo digitale ma anche alla vita quotidiana nell’attesa di trasformare la sua dedizione in carriera.