Scopri l'universo
espanso di Gold
Gold enterprise
Goldworld Logo
È APPROVATO DA SPLEEN
TECH

Usa, Israele e Iran: La guerra invisibile dei cybervirus di stato



Gli uffici del Kaspersky Lab, alla periferia di Mosca, non sono cosi’ diversi da quelli di una qualsiasi azienda informatica della Silicon Valley, o forse di una qualsiasi azienda informatica ovunque nel mondo. Il personale e’ in media giovane (e in prevalenza maschio), l’abbigliamento casual (jeans e Converse vanno per la maggiore), l’atmosfera informale (con cubicoli e scrivanie in uno spazio aperto). C’e’ persino qualcuno che ha decorato la sua postazione con una maschera di Darth Vader…

La ditta, fondata nel 1997 da Eugene Kaspersky, un giovane matematico che dopo aver lavorato per l’esercito russo si e’ messo in proprio con la moglie usando come primo ufficio il salotto di casa, si e’ guadagnata comunque una buona reputazione a livello internazionale con i suoi prodotti antivirus e i suoi servizi di sicurezza informatica. Ed e’ per questo che, circa tre settimane fa’, e’ stata contattata dall’International Telecommunications Union, un’agenzia dell’Onu, che l’ha incaricata d’investigare una segnalazione urgente in arrivo dall’Iran, dove una misteriosa infezione aveva cominciato a cancellare gli hard drive dei computer del Ministero del petrolio.

Un virus che distrugge i computer che infetta e’ molto inusuale, perche’ chi si dedica a programmare “malware” di quel genere ha tutto l’interesse a prendere e mantenere il controllo delle macchine che ha penetrato, all’insaputa dei loro proprietari, per rubare dati bancari (se e’ un criminale), per generare spam (se e’ un imbroglione), o anche solo per vantarsi con gli amici dell’armata di “zombie” che ha messo assieme (se e’ un ragazzino). Un virus che cancella gli hard drive e’ poi particolarmente difficile da investigare, perche’ finisce inevitabilmente per cancellare anche se stesso e le tracce del suo misfatto.

In ogni caso il team di Kaspersky si e’ messo al lavoro, analizzando fra l’altro l’immenso archivio di possibili programmi sospetti che i software dell’azienda raccolgono automaticamente, ed ha presto scoperto qualcosa che ha lasciato anche gli esperti piu’ smaliziati a bocca aperta. In Iran, ma anche nei Territori palestinesi occupati e in molti altri paesi del Medio Oriente, centinaia, forse migliaia di computer erano infettati da un virus, Flame, incredibilmente sofisticato, qualcosa che nessuno aveva mai visto prima.


Uno screenshot delle analisi del virus Flame presso il Kaspersky Lab di Mosca.

Secondo le analisi del Kaspersky Lab quel virus e’ infatti un mostro che puo’ arrivare fino a 20 megabyte, composto di una serie di moduli coordinati da una sorta di cervello centrale, capaci di copiare i file presenti sul disco, trascrivere quello che l’utente digita sulla tastiera, fotografare ogni pochi secondi quello che appare sullo schermo, registrare conversazioni su Skype, e addirittura attivare il microfono del computer per spiare quello che la gente dice attorno, spedendo poi tutte queste informazioni ad una serie di almeno 80 server di “comando e controllo” sparsi per il mondo. Non solo: Flame pare capace di esplorare i network a cui il computer che lo ospita e’ collegato, “sniffando” password in transito per contaminare altre macchine, e persino accendere la modalita’ di trasmissione Bluetooth, per penetrare eventuali gadget e cellulari che si trovano nelle sue vicinanze, scaricando liste di contatti, chiamate, SMS e altri dati che questi possono contenere.

Gli esperti del Kaspersky Lab aggiungono che Flame sembra contagiare le sue vittime attraverso chiavette USB, penetrandole con una sua versione minimale (di “soli” 6 megabyte), che segnala quindi la sua presenza ai server di comando e controllo, restando in attesa di ordini, per scaricare poi ulterori componenti e cominciare ad agire a seconda delle istruzioni che riceve. La sua modalita’ di contagio non e’ automatica, ma deve essere autorizzata caso per caso dall’entita’ che lo controlla, limitando quindi il rischio che venga scoperto a causa di una proliferazione caotica. Il virus include anche un modulo di suicidio, che quando viene attivato a distanza lo cancella completamente, prendendosi cura di far sparire ogni traccia della sua incursione.


Una mappa che mostra i paesi colpiti dal virus di spionaggio Flame.

Resta infine il mistero di come un virus cosi’ colossale ed insidioso sia potuto sfuggire per un lungo periodo di tempo all’attenzione di tutti gli esperti di sicurezza informatica. Sempre secondo le analisi del Kaspersky Lab i suoi misteriosi padrini hanno fatto un ottimo lavoro nell’offuscare le date di creazione dei file che lo compongono. Di certo Flame e’ in circolazione da almeno un paio di anni, forse addirittura quattro o cinque. Mikko Hypponen, capo delle ricerca di F Secure, una ditta finlandese che e’ considerata fra le migliori nel settore degli antivirus, si e’ gia’ coperto pubblicamente il capo di cenere, parlando di “fallimento spettacolare per tutta la nostra industria”. Ma come i suoi colleghi del Kaspersky Lab si e’ in parte giustificato spiegando che una minaccia cosi’ sofisticata puo’ essere stata creata solo da un’entita’ di stato, da un’armata di hacker impiegati da un’agenzia di spionaggio militare, con risorse umane e tecnologiche praticamente illumitate, un nemico insomma con cui anche le aziende private di sicurezza informatica piu’ avanzate possono difficilmente competere.

Ma chi e’ il colpevole? Per il momento l’analisi del codice di programma di Flame non ha svelato alcun indizio sui suoi possibili creatori. Ma il fatto che quel virus abbia preso come bersaglio certi computer in Iran e in altri paesi del Medio Oriente alimenta i sospetti in una direzione specifica. Non e’ poi forse una coincidenza che pochi giorni dopo la scoperta di Flame il New York Times abbia scelto di pubblicare una mega inchiesta su altri due virus, DuQu e Stuxnet, che circa un anno fa’ erano stati identificati come la causa di una serie di misteriosi incidenti di sabotaggio all’interno degli impianti del programma nucleare iraniano. Secondo il prestigioso quotidiano newyorkese, che sostiene di avere raccolto le confidenza di almeno una dozzina di alte personalita’ politiche e militari (ovviamente in forma rigidamente anonima), DuQu e Stuxnet sarebbero il frutto di un nuovo programma top secret contro l’Iran, gestito da Stati Uniti e Israele, e autorizzato e monitorato in prima persona da Barack Obama e dai suoi piu’ stretti consiglieri.


Il presidente iraniano in visita alla centrale di arricchimento dell'uranio di Natanz.

I due virus lavoravano in tandem. DuQu aveva un ruolo di ricognizione, infettando i suoi bersagli sempre attraverso chiavette USB, e mappando quindi la struttura dei network e delle installazioni industriali che era riuscito a penetrare, spedendo poi queste informazioni alla sua “casa madre”. Stuxnet si annidiava invece dentro a quei sistemi di controllo digitale che oggi sono diventati una componente indispensabile per operare molti macchinari industriali piu’ o meno sofisticati. In particolare Stuxnet aveva come bersaglio le migliaia di centrifughe del programma iraniano di arricchimento dell’uranio a Natanz. Quegli apparecchi, adattati da un design sviluppato dai creatori della bomba nucleare pakistana, aumentano la radioattivita’ di una miscela gassosa di uranio, sottoponendola ad un’immensa forza centrifuga mentre girano ad altissima velocita’. Il risultato puo’ essere duplice: se l’arricchimento si ferma ad una certa bassa percentuale si produce combustibile per centrali elettriche nucleari (come sostiene il governo iraniano), ma se invece continua si ottiene la materia prima per costruire bombe atomiche (come sospettano la maggior parte dei governi occidentali).

Secondo la ricostruzione del New York Times, DuQu e Stuxnet erano parte di un programma di sabotaggio, chiamato in codice “Olympic Games”, lanciato nel 2006 dalla National Security Agency (la piu’ potente agenzia di spionaggio elettronico americana) e da Unit 8200 (il suo equivalente in Israele), negli ultimi anni dell’amministrazione Bush. Sempre secondo il quotidiano, quel programma sarebbe stato continuato con particolare entusiasmo dal governo di Barack Obama, che nel 2010 avrebbe autorizzato il passaggio alla fase di attacco. Questo vuol dire che Stuxnet, dopo aver infettato i sistemi di controllo digitali Siemens delle centrifughe, avrebbe cominciato a sabotarne il funzionamento con istruzioni errate, bloccandole di colpo o facendole girare troppo velocemente, in modo da farle letteralmente cascare ed esplodere l’una sull’altra.


Una delle sale di controllo dell'impianto di arricchimento dell'uranio a Natanz.

Secondo le stime di alcune delle fonti citate dal giornale, questo avrebbe provocato la distruzione di almeno un migliaio di centrifughe su un totale di 5000, scatenando il caos fra gli ingegneri dell’impianto, che non riuscivano a spiegarsi in alcun modo la causa di queste malfunzioni, visto che fra l’altro Stuxnet era stato programmato per continuare a segnalare alla sala di controllo di Natanz che tutte le apparecchiature stavano funzionando in modo perfettamente normale. La pacchia, se cosi’ la si puo’ chiamare, e’ pero’ durata poco. Nonostante la base di Natanz fosse completamente tagliata fuori da internet (proprio per evitare il rischio di attacchi informatici), pare che cosi’ come Stuxnet vi era stato infiltrato dentro (con la chiavetta USB di un ignaro dipendente) ne sia anche saltato fuori, cominciando ad infettare altri computer in giro per il mondo e finendo quindi per essere scoperto.

Le caratteristiche di DuQu e Stuxnet da una parte e di Flame dall’altra sono estremamente diverse. I primi due sono dei virus ultra compatti, il secondo e’ un gigante che secondo gli esperti richiedera’ anni di lavoro per essere decodificato completamente. Chiunque li abbia creati ha usato linguaggi di programmazione differenti e per il momento non ci sono indizi che siano il frutto del lavoro dello stesso team. Ma fino a ieri l’idea che un virus cibernetico potesse letteralmente distruggere un impianto industriale (al pari di una bomba), o infiltrare le comunicazioni piu’ segrete fra i leader di una nazione (come un’armata di 007), era qualcosa da romanzo di fantascienza. Adesso abbiamo la prova che e’ in corso una guerra invisibile.


Addetti alla manutenzione di un impianto nucleare iraniano.

“Qualcuno ha varcato il Rubicone, abbiamo una legione sull’altra sponda del fiume,” ha dichiarato a questo proposito il generale Michael Hayden, ex direttore della CIA. “Non voglio pretendere che sia esattamente la stessa cosa, ma almeno in un certo senso siamo nell’agosto del 1945,” ha detto ancora, citando il mese in cui due bombe atomiche furono usate in guerra per la prima (e per fortuna l’ultima) volta nella storia. Paragonare un virus digitale con un ordigno nucleare puo’ sembrare una bella esagerazione. Dopo tutto i funghi atomici che spazzarono via dalla faccia della terra Hiroshima e Nakasaki erano delle armi di distruzione di massa indiscriminate. All’apparenza DuQu, Stuxnet e Flame assomigliano di piu’ a quei veivoli armati teleguidati, i cosidetti droni, che Cia e Pentagono usano ormai con cadenza regolare per ammazzare con precisione (piu’ o meno) chirurghica presunti leader del terrorismo islamico in Afghanistan, Pakistan, Yemen e Somalia. Ma un virus informatico prodotto in segreto per fini militari puo’ trasformarsi da drone a bomba atomica semplicemente alterando poche linee di programma.

Le nostre societa’ urbane contemporanee sono sempre piu’ dipendenti dai computer, che gia’ gestiscono il corretto funzionamento di reti elettriche, telecomunicazioni, trasporti, distribuzione delle merci e dozzine di altri servizi vitali. Fra gli strateghi del Pentagono girano delle simulazioni che dimostrano come un black out provocato da un attacco cibernetico su larga scala potrebbe facilmente gettare qualsiasi nazione sviluppata nel caos. Le conseguenze di una mancanza prolungata di corrente elettrica non sarebbero infatti solo quelle di costringere la gente a chiudersi in casa, al buio senza Tv, ma che smetterebbero di funzionare le pompe degli acquedotti, e quelle dei benzinai, e si bloccherebbero treni e metropolitane, e telefoni e cellulari, e le derrate dei supermercati marcirebbero nei frigoriferi…

Come reagirebbe la popolazione di una nazione moderna che si ritrovasse dopo qualche giorno senza acqua, senza cibo, senza benzina, senza informazioni? Come sceneggiatura per una mega produzione cinematografica questa prospettiva apocalittica appare intrigante. Ma nel mondo reale un esperimento del genere non mi pare troppo raccomandabile. E se Stuxnet e’ stato in grado di sabotare un impianto blindatissimo come quello di Natanz in Iran, perche’ non dovremmo immaginare che qualcosa di simile potrebbe mandare in tilt le centrali di una banalissima compagnia elettrica, che di sicuro non e’ equipaggiata con difese di livello militare? Non c’e’ forse un proverbio che dice: “Chi di spada ferisce, di spada perisce”?


Reticolati e batterie controaeree a difesa dell'impianto di Natanz.

Pochi giorni fa’, Eugene Kaspersky, parlando ad una conferenza di informatici in Australia, ha riproposto l’idea di un trattato internazionale per proibire l’uso di armamenti cibernetici d’assalto, come appunto il virus che la sua ditta ha scoperto. Un’idea del genere, basata sul modello degli accordi contro la proliferazione nucleare, era gia’ stata avanzata dal governo russo. Ma e’ purtroppo difficilissima da implemtare, perche’ al contrario di una bomba atomica, che per essere costruita richiede impianti colossali molto difficili da occultare, e che comunque se viene fatta detonare lascia tracce evidenti di chi l’ha lanciata, un virus di stato puo’ essere prodotto in un ufficio indistinguibile da quello di una qualsiasi ditta high tech, e se viene programmato con la massima cura non lascia alcun indizio della sua provenienza.

La possibilita’ di una guerra termonucleare scateno’ negli anni ’50 un immenso dibattito strategico, politico, filosofico e religioso, coinvolgendo non solo capi di stato e generali, ma anche le passioni dei cittadini comuni ovunque nel mondo. L’alba dell’era dei droni, con la loro capacita’ di uccidere ignorando le frontiere, senza dover dichiarar guerra ufficialmente a nessuno, e’ stata accolta dall’opinione pubblica occidentale con una bella alzata di spalle collettiva. Dopo tutto perche’ dovremmo rammaricarci se qualche estremista fanatico vien fatto secco con un missile che piove all’improvviso dal cielo a migliaia di chilometri di distanza da casa nostra? Meglio quello che una guerra convenzionale…

Di fronte alla scoperta di armi cibernetiche come DuQu, Stuxnet e Flame e’ facilissimo ragionare allo stesso modo. Se grazie a strumenti di quel tipo i servizi segreti occidentali riuscissero ad impedire all’Iran di costruire una bomba atomica non sarebbe forse un bene per la pace mondiale? E comunque meglio di una campagna di bombardamenti, di una guerra tradizionale, di un’invasione violenta come quella che ha insanguinato l’Iraq? Peccato che la realta’ abbia il brutto difetto di non essere mai prevedibile come la sceneggiatura di un nuovo episodio di “Mission Impossible”. In quel caso sappiamo tutti, prima ancora di entrare nel cinema, che la suspence non durera’ piu’ di due ore. E che la trama finira’ comunque con la vittoria dei buoni. Con la guerra invisibile dei virus di stato? Il prossimo capitolo non l’ha ancora scritto nessuno. Il futuro e’ un buco nero.


Un'immagine rilasciata dal governo iraniano dopo l'annuncio che i suoi ricercatori hanno realizzato un programma per estirpare il virus Flame.