Stuxnet, ben più di un normale worm

È concreta la minaccia informatica per alcuni impianti per l’arricchimento dell’uranio, metallo utilizzato in diverse applicazioni industriali. L’allarme parte da Symantec, celeberrimo nome nel campo della sicurezza informatica, che conferma la presenza di un worm di concezione particolarmente raffinata che ha come target principale alcuni stabilimenti di questo tipo.

Già conosciuto come Stuxnet, il worm ha come obiettivo centrale quello di prendere il controllo dei convertitori di frequenza presenti nei motori di tali impianti, allo scopo di sabotarne il funzionamento. Passando dalla porta principale, il worm è in grado di apportare modifiche al controllore logico delle unità in questione, andando così a modificarne a fondo il comportamento. Il quale è riassumibile in una prima fase di alterazione della frequenza di lavoro, che oscilla così tra i 1400 e i 2 Hz, per poi passare alla seconda fase, durante la quale la frequenza si assesta sui 1000 Hz. Non un worm qualunque, quindi, ma un codice di concezione professionale e con finalità specifiche che vanno ben oltre la normale infezione.

L’attacco da parte di Stuxnet mette a rischio sia l’integrità della macchina, sottoposta a notevoli sforzi per modificare il proprio andamento, che quella dei prodotti realizzati. Trattandosi di materiali altamente nocivi, di tipo radioattivo, è facile comprendere come il pericolo sia di un livello tale da far scattare l’allerta generale. I danni provocati da un sabotaggio di questo tipo sarebbero sia di carattere economico che di tipo fisico, mettendo a repentaglio anzitutto la sicurezza degli addetti ai lavori.

Stuxnet non colpisce qualunque tipo di sito per l’arricchimento dell’uranio, ma è stato invece programmato per mirare determinati obiettivi. Durante la sua diffusione, va alla ricerca di sistemi dotati di convertitori che operano in uno specifico range di frequenze (dagli 807 ai 1210 Hz), azionati da software di controllo industriale sviluppati da Siemens. L’isolamento degli obiettivi e la determinazione del comportamento del worm sono stati possibili grazie alla collaborazione di un esperto tedesco in materia di protocolli di rete, in particolare Profibus, ampiamente utilizzato nei sistemi di automazione industriale.

I primi siti indicati da Symantec come possibili obiettivi sono stati localizzati in Finlandia e Iran. In un primo momento, si è parlato anche di minacce per alcune centrali elettriche, per poi constatare che queste ultime non determinano il medesimo livello di allarme in quanto utilizzano nei propri processi produttivi uranio già arricchito. Restano ignoti gli artefici di tale malware, così come il loro scopo: in prima battuta è ipotizzabile una matrice di stampo terroristico, ma vi sono ancora forti dubbi a riguardo.