Last Updated on February 15, 2011

Quando la sicurezza Informatica incontra (involontariamente) l’arte…

Symantec ha da poco pubblicato un aggiornamento relativo al proprio documento di analisi del malware Stuxnet. In questa versione del documento, che rappresenta forse il lavoro più esaustivo dedicato al malware delle centrali nucleari, il produttore di sicurezza di Cupertino ha aggregato i dati raccolti relativi al traffico effettuato dal malware verso i server di controllo remoto, con lo scopo di tracciare la linea spazio-temporale che ha caratterizzato l’infezione.

Come molti ricorderanno Stuxnet è stato da subito caratterizzato da una notevole complessità tecnica sancita, oltre che dall’uso massiccio di vulnerabilità 0-day, anche da molteplici meccanismi di infezione. A partire dall’infezione di una qualsiasi macchina Windows connessa in rete (il paziente zero), il malware è stato in grado di propagarsi con virulenza inaudita [e con l’ (in)sperato supporto delle Vulnerabilità 0-day di Microsoft] all’interno della LAN. Come ultimo livello di infezione, grazie alla possibilità di propagarsi tramite drive USB, il malware ha raggiunto il vero (presumibile) obiettivo finale costituito dai nodi di programmazione PLC (definiti field PG) dei miscelatori delle Centrali Nucleari (soprattutto quelle Iraniane), nodi che tipicamente non sono connessi in rete.

Oltre a molteplici meccanismi di infezione, il team di sviluppo di Stuxnet (perché di un team deve essersi trattato considerata la complessità dell’architettura) ha dotato il malware della possibilità di aggiornarsi (per contrastare l’aggiornamento dei sistemi operativi e dei software di protezione anti-malware) e di essere controllato da remoto. In effetti il virus delle centrali nucleari non si è fatto mancare nulla ed i suoi creatori hanno previsto, seguendo la tendenza attuale del malware evoluto, un efficiente meccanismo peer-to-peer per controllare il malware da remoto ed eventualmente aggiornarlo grazie alla possibilità di connettersi ad un Server remoto di Comando e Controllo (C&C).

Sfrtuttando questo “vizietto” del malware, a partire dal 20 luglio 2010, Symantec ha messo in opera il monitoraggio del traffico dagli host compromessi connessi in rete verso i server di comando e controllo di Stuxnet. L’analisi dei campioni di virus analizzati ha consentito difatti di rilevare che i server di comando e controllo puntavano in realtà (tramite l’usuale http 80) a due domini:

www.mypremierfutbol.com
www.todaysfutbol.com

facenti riferimento a server ubicati in Malesia e Danimarca. Una volta smascherati i finti domini il traffico è stato rediretto in lidi più sicuri. Contestualmente è stato possibile monitorare e analizzare il flusso di dati, impedendo ulteriormente il controllo delle macchine compromesse, e provvedendo nello stesso tempo ad avvisare le organizzazioni infette. I dati raccolti, appartenenti unicamente ai nodi compromessi connessi in rete, si sono rivelati estremamente preziosi per comprendere l’evoluzione dell’infezione. Ogni connessione verso i server di comando e controllo difatti, contiene dati quali: indirizzi IP interni ed esterni, nome del Computer, versione del Sistema Operativo, ed inoltre un indicatore che consente di capire se la macchina infetta ospita (e fa girare) il software di controllo industriale SIMATIC Step 7.

Grazie all’analisi di questi dati è stato possibile rilevare che alla  data del 29 settembre 2010 vi erano nel mondo 100.000 host infetti dei quali oltre il 60% localizzati in Iran. Dove peò i dati cominciano a farsi interessanti, è nel modo in cui è nata l’infezione: Symantec sostiene infatti che l’infezione sia nata da 5 punti ben precisi, ovvero tutto farebbe pensare che l’operazione sia stata concepita a tavolino per far partire il suo attacco mortale da cinque domini (il produttore giallo non rivela quali), da cui poi si è diffusa in tutto il globo.

A queste conclusioni si è giunti raccogliendo 3280 campioni del virus, “in rappresentanza” delle tre varianti del malware. Dal momento che il virus, ogni volta che infetta una nuova macchina, registra un timestamp oltre ad altre informazioni del sistema infetto; ogni campione racconta la storia del computer infetto, inclusa la prima infezione, il cosiddetto Paziente 0. Ovviamente con questi dati a disposizione è stato possibile ricostruire l’evoluzione del virus e determinare le caratteristiche di questa Apocalisse informatica:

• Il nome di dominio registrato ha rivelato che Stuxnet è stato un attacco rivolto esplicitamente a cinque organizzazioni diverse;
• Le cinque organizzazioni hanno subito 12.000 infezioni;
• Tre organizzazioni sono state attaccate una sola volta, una è stata attaccata due volte, ed una ulteriore addirittura tre volte;
• Il Dominio A è stato attaccato due volte (Giugno 2009 e Aprile 2010);
• In ambedue i casi il paziente 0 (ovvero il computer origine dell’infezione) è stato sempre lo stesso;
• Il Dominio B è stato attaccato tre volte (Giugno 2009, Marzo 2010 e Maggio 2010);
• Il Dominio C è stato attaccato una sola volta (Luglio 2009);
• Il Dominio D è stato attaccato una sola volta (Luglio 2009);
• Il Dominio E sembra essere stato attaccato una sola volta (Maggio 2010), ma con tre infezioni iniziali (ovvero la stessa chiavetta USB galeotta è stata inserita dentro tre computer differenti);
• Da queste 10 infezioni iniziali hanno avuto origine 12000 infezioni;
• Sono stati registrati 1800 nomi di dominio diversi;
• Tutte le date di infezione sono riconducibili a Giugno 2009, Luglio 2009, Marzo 2010, Aprile 2010 e Maggio 2010;
• Tutte le organizzazioni infette hanno presenza in Iran;

Il grafici seguenti mostrano le lugubri figure geometriche derivanti dalla ricostruzione dell’infezione:

Sono stati riscontrati 10 cluster di infezione, il più virulento dei quali è stato quello che ha visto protagonista il Dominio B nel marzo 2010. Gli attacchi del 2009 hanno registrato il minore impatto, forse un artefatto causato dal numero ridotto di campioni raccolti per quell’anno. Inoltre, i grafici di infezione hanno principalmente rami lineari come se una singola infezione potesse influenzare un solo computer. Questo sarebbe solo parzialmente dovuto alle caratteristiche di autolimitazione del codice, mentre, probabilmente, potrebbe essere un artifatto introdotto dal numero ridotto di campioni raccolti.

I dati evidenziano inoltre un non trascurabile effetto collaterale: il fatto che dagli iniziali 5 domini ne siano stati colpiti 1800 con 12000 indezioni, dimostra che Stuxnet è riuscito a sfuggire dai confini dei domini inizialmente colpiti, probabilmente per la collaborazione involontaria di partner e fornitori che, mediante una chiavetta USB galeotta, hanno propagato l’infezione oltre il perimetro virtuale del dominio obiettivo iniziale.

Il documento Symantec è estremamente curato e dettagliato, e questo ultimo aggiornamento è ulteriormente interessante e suggestivo (i grafi di evoluzione del virus sembrano opere arte ed hanno a mio avviso un contenuto artistico molto maggiore rispetto a certe opere che ho visto al MAXXI). Curiosamente, però, non ho potuto fare a meno di osservare che il documento Symantec è stato pubblicato subito dopo il report McAfee relativo al virus Night Dragon (che attacca facility differenti, appare meno raffinato del suo predecessore Stuxnet, ed ha inoltre sollevato reazioni controverse tra altri vendor di sicurezza). Questo sembrerebbe delineare una nuova tendenza dei produttori: ieri mettevano alla prova la bontà della propria tecnologia e dei propri laboratori di ricerca sfidandosi reciprocamente nella corsa dei tempi di rilascio delle signature per le nuove infezioni; oggi la sfida risiede nello sradicare per primi le minacce di nuova generazione (i cosiddetti Advanced Persistent Threat), soprattutto quando queste, anche utilizzando metodi di infezione “tradizionali”, effettuano il salto di qualità e minano alla base le infrastrutture critiche che presiedono all’Ordine Mondiale (almeno così come lo consociamo).