Sono passati più di quattro anni dalla scoperta di uno dei più sofisticati e pericolosi programmi dannosi - il worm Stuxnet, considerato la prima cyber-weapon - ma nonostante ciò ancora molti misteri avvolgono questa storia, tra cui i reali obiettivi di questa operazione. Per un periodo di due anni sono stati raccolti e analizzati più di 2mila file Stuxnet che hanno permesso ai ricercatori di Kaspersky Lab di identificare le prime vittime del worm.
Sin dall'inizio gli esperti di sicurezza non hanno avuto dubbi sul fatto che l'attacco avesse obiettivi precisi. Il codice del worm Stuxnet risultava professionale ed elitario e gli esperti hanno trovato prove dell'utilizzo di vulnerabilità zero-day estremamente costose. Quello che non era ancora molto chiaro era quali fossero le prime organizzazioni colpite e come il worm fosse riuscito a raggiungere le centrifughe per l'arricchimento dell'uranio all’interno di specifiche strutture di massima segretezza.
La nuova indagine di Kaspersky Lab ha fatto luce sulla questione. Le cinque organizzazioni colpite inizialmente operavano nel settore dell'Industrial Control System (ICS) in Iran, sviluppando ICS o fornendo componenti e materiali. Ad attirare però l’attenzione degli esperti di Kaspersky Lab è stata la quinta azienda colpita, che, oltre alla produzione di prodotti per l’automazione industriale, produceva centrifughe per l'arricchimento dell'uranio. Sono proprio queste attrezzature l'obiettivo principale di Stuxnet.
Evidentemente, i criminali si aspettavano che queste aziende avrebbero condiviso informazioni con i propri clienti - come ad esempio con le strutture per l'arricchimento dell’uranio - e che ciò avrebbe permesso al malware di penetrare in questi impianti. Dai risultati dell'indagine è emerso che il piano ha avuto successo
"Analizzare le attività professionali delle prime organizzazioni colpite da Stuxnet ci consente di comprendere meglio come sia stata pianificata l'intera operazione. Questo è un chiaro esempio di quando un vettore di attacco colpisce le supply-chain recapitando indirettamente il malware all’azienda bersaglio tramite la rete dei partner con cui essa collabora" ha commentato Alexander Gostev, Chief Security Expert at Kaspersky Lab.
Gli esperti di Kaspersky Lab hanno fatto un'altra interessante scoperta: il worm Stuxnet non si diffondeva solamente tramite chiavette USB infette inserite nei PC. Questa era la teoria iniziale, che spiegava come il malware potesse raggiungere l’obiettivo anche in assenza di connessione diretta a Internet. Tuttavia, i dati raccolti analizzando il primo attacco hanno mostrato che il primo campione di worm (Stuxnet.a) era stato scritto solo poche ore prima che comparisse su un PC della prima azienda colpita. I tempi così brevi rendono difficile immaginare che, in poche ore, un criminale abbia scritto il codice, l'abbia messo su una chiavetta USB e l’abbia spedita alla società presa di mira. È quindi più ragionevole pensare che in questo caso specifico i criminali che si celano dietro a Stuxnet abbiano usato tecniche diverse dall'infezione tramite USB.
È possibile leggere le ultime informazioni tecniche su alcuni aspetti precedentemente sconosciuti dell’attacco Stuxnet su Securelist e nel nuovo libro - "Countdown to Zero Day" - del giornalista Kim Zetter. Il libro comprende informazioni su Stuxnet non divulgate precedentemente; alcune di queste informazioni si basano su interviste con membri del Kaspersky Lab Global Research and Analysis Team.
Informazioni su Kaspersky Lab
Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 17 anni di storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding è registrata in Gran Bretagna, opera in 200 paesi e protegge oltre 300 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.com/it.
* L'azienda si è posizionata al quarto posto nel, 2013 di IDC. La classifica è stata pubblicata nel report IDC Worldwide Endpoint Security 2014-2018 Forecast and 2013 Vendor Shares (IDC #250210, Agosto 2014).). Il report ha classificato i vendor software in base al fatturato derivante dalle vendite di soluzioni di sicurezza endpoint nel 2013.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
Twitter: https://twitter.com/KasperskyLabIT
Facebook: http://www.facebook.com/kasperskylabitalia
Google Plus: https://plus.google.com/u/0/b/110369116315123340458/110369116315123340458/posts