Red Hot Cyber
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Menu
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Roberto Villani : 9 Dicembre 2021 11:28
Autore: Roberto Villani
Data Pubblicazione: 09/12/2021
Sappiamo tutto di Stuxnet e non sappiamo nulla, tutte le informazioni che ci sono giunte finora oltre ad essere più che suggestive o tradotte da analisi informatiche, non hanno ricevuto conferme o riscontri tali da poter confermare chi sia stato a realizzare Stuxnet.
Molto è stato detto e scritto sull’affaire Stuxnet ma poco è provato, se non le classiche supposizioni utili per il grande gioco, o per forme di Sharp Power, nel mondo globale e geopolitico.
Supporta Red Hot Cyber attraverso
Ma perché allora noi di RHC ne stiamo parlando?
In realtà come appassionati di cybersecurity il fascino che emana Stuxnet non si riesce a spegnere, anzi ogni giorno si evidenziano nuove sfide che nascono dalle sue traccie sparse nel mondo. Il Malware è stato cosi diffuso nel globo, che attira la comunità hacker in ogni angolo, interessa le Cyber gang criminali, interessa gli attivisti hacker politici, interessa gli esperti di Security aziendale e degli Stati, insomma non è escluso nessuno del settore Cyber, che non sia attratto in qualche maniera da Stuxnet.
Ed è proprio questo interesse che dobbiamo considerare. I danni che il malware ha fatto nel target per cui era stato ingegnerizzato sono ampiamente conosciuti e da quel giorno di giugno 2010 quando fu rilevato per la prima volta in Bielorussia, questo malware ha lasciato tracce, come Pollicino in giro per il mondo.
La tracce più grandi le conosciamo, e sono tutte in quel paese quasi al centro del Medio Oriente che da sempre minaccia il mondo, per un verso o l’altro, allarmando gli eserciti dei paesi occidentali e non solo, che si preparano ad un attacco nucleare.
Stuxnet venne rilevato per almeno 30 mila volte in Iran dal giugno 2010, gli analisti ed i ricercatori di cybersecurity dei maggiori produttori di antivirus lo hanno seguito in tutto il mondo perché la sua costruzione è unica, portava con se migliaia di informazioni e come ben sanno coloro che si occupano di cybersecurity la “firma” di un malware è custodita nel suo codice.
Fu da subito catalogato come molto pericoloso e altamente sofisticato, perché fin dalla prima analisi al suo interno vi erano 4 potenti zeroday. Il processo di identificazione del malware, costringeva gli analisti ed i ricercatori a continue elaborazioni e confronti tra analisti che spesso si perdevano nei singoli bit del codice di Stuxnet.
Quindi ogni attività di indagine doveva essere ripresa dal punto zero e ricostruita piano piano, per non perdere la sfida. Ma allo stesso tempo, Stuxnet “lavorava” e quindi l’attività investigativa al suo interno si dimostrava sempre più difficile. Da qui si evince già come il malware ben costruito, sia privo di firma o quantomeno privo di conferma di firma.
E se anche la prima informazione giunta nel giugno 2010 già identificava l’Iran come target – colui che scoprì il malware in Bielorussia, lo scoprì all’interno di alcuni portatili di suoi clienti iraniani – quale fosse il target vero e proprio non si è scoperto almeno fino all’evidenza ben riportata da molti media mondiali, che hanno identificato nella centrale nucleare di Natanz in Iran il target di un attacco informatico portato dall’esterno.
Ora senza parlare di zero day custoditi all’interno di Stuxnet, del noto brand di apparecchiature tecnologiche e di PLC, Stuxnet ci riguarda tutti, nessuno escluso.
Come la bomba nucleare sganciata sul Giappone nell’agosto del 1945 ha fatto da spartiacque nella guerra classica, obbligando il mondo ad inseguire gli armamenti fino a riempire ogni singolo paese del mondo, anche quei paesi che considerano la democrazia una beffa e non hanno regole, ne diritti civili, di armi nucleari, più o meno potenti, anche Stuxnet o se vogliamo quel giorno di giugno 2010, ha rappresentato un punto di non ritorno.
Se la minaccia nucleare – chi della mia generazione ricorderà certamente la paura che si diffuse nei primi anni ’80 con l’aumento dello scontro tra Est ed Ovest, sull’orlo di un conflitto mondiale nucleare – se quella minaccia venne da prima regolarizzata con norme e successivamente con i famosi accordi tra Reagan e Gorbaciov che determinarono la fine di quel periodo di paura, la minaccia Cyber non è ancora stata disciplinata da norme internazionali.
Non esiste una convenzione scritta in un mondo virtuale come quello cyber, e se molto è stato scritto a Tallin, non tutto è stato regolarizzato o definitivamente accettato dai paesi del mondo.
Assistiamo quindi ad una sorta di cyber-anarchia mondiale che favorisce chi ha più forza nel settore cyber tecnologico e può permettersi il lusso di avere strumenti e software in grado di bloccare il mondo. Stuxnet venne costruito per una infrastruttura critica, un impianto nucleare, perché non potrebbe essere usato per bloccare i semafori di una città?
Perché non potrebbe essere usato per regolare il transito delle navi negli stretti, o le forniture di energia elettrica verso o da un paese? Perché non potrebbe essere usato per colpire e danneggiare avverarsi e competitor industriali?
Le “briciole” lasciate da Stuxnet sono ancora nel mondo e possono essere raccolte da chiunque sappia utilizzare e leggere un codice malware o comprenderne la sua filosofia e gli snodi di svolta.
Ecco perché è importante per noi avere una cultura cibernetica. Dobbiamo imparare subito cosa vuol dire fare delle “attività ordinarie” e fare “attività straordinarie” nel campo della threat Intelligence.
Abbiamo necessità di fare attività offensive e difensive, per difendere le nostre strutture critiche, i nostri Database, i nostri centri di controllo e gestione delle informazioni. Siamo nel pieno di una guerra informatica, dove ogni singolo soggetto, che abbia avuto accesso ad una delle briciole lasciate sul campo, è in grado di attuare una minaccia ai nostri sistemi. E non meno minacciosi sono i nostri “alleati”, che hanno da sempre interesse a difendere le loro attività e le loro comunità sociali.
Dietro la complessa struttura di un malware si può nascondere uno Stato che vuole impadronirsi delle nostre aziende, delle nostre strutture critiche, se non sabotarle per poter poi venderci la soluzione.
Le Intelligence straniere uniscono a queste azioni ordinarie, le azioni non ordinarie che seguono parallelamente le azioni ordinarie, per supportarle e renderle meno rilevabili. Specialisti della azioni non ordinarie erano tutti i paesi dell’ex blocco sovietico.
La ex DDR per esempio specialista nella disinformazione di Stato, usava ogni mezzo per far credere quanto forte fosse il paese, condizionando anche i bambini. In TV ogni sera, i bambini della ex DDR guardavano le avventure di “Sabbiolino” che descriveva le meraviglie tecnologiche della DDR, come i primi i computer o la conquista dello spazio.
Quindi ascoltando radio, TV, e programmi web, che magari vengono “costruiti” appositamente per sostenere o ribaltare storie e teorie varie, subiamo attacchi di attività non ordinarie. E questo non accade da ieri, ma da sempre.
Come appassionati di cyber security e cyber intelligence, suggeriamo quindi a tutti coloro che vogliono avvicinarsi al mondo cybertenologico, di imparare a gestire le informazioni, i propri dati, le proprie capacità, le skills e le expertise, perché se avete intenzione di far parte di qualche agenzia nazionale per la sicurezza, sarete obiettivi da selezionare.
Per tutti. Nemici compresi.
Roberto VillaniRedazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009
