DUQU 2.0, IL PROBABILE PROTAGONISTA DEI CIBERATTACCHI CONTRO IL VENEZUELA

Introduzione di Davide Gionco

Abbiamo tradotto per voi questo articolo del giornalista venezuelano Alfredo Hurtado, tratto dal sito internet Mision Verdád.
Al di là della posizione “di parte venezuelana”, l’articolo ci racconta di come gli USA e Israele hanno saputo usare dei virus informatici per danneggiare la centrale nucleare di Natanz in Iran, di com       e con ogni probabilità hanno manomesso i PLC (controllori logici programmabili) di gestione delle centrali elettriche del paese, provocando i blackout elettrici a ripetizione in tutto il paese di cui abbiamo avuto notizia. Questi ciber-attacchi sono stati combinati alla messa in circolazione in tutto il mondo di fake news, come ad esempio dei morti negli ospedali causati da questi blackout (non esistono prove che si tratti di una notizia vera, e se anche lo fosse, di certo non sarebbe il governo di Maduro ad esserne il responsabile).
Benvenuti nelle ciberguerre del XXI secolo!
Quando parliamo della necessità di recuperare lciaoa piena Sovranità Popolare in Italia (pensiamo a quelli che chiedono di uscire dall’Unione Europea e dalla NATO), dobbiamo renderci conto che non è sufficiente recuperare la sovranità monetaria.
Se non siamo in grado, ad esempio, di disporre di un nostro sistema operativo italiano per i nostri computer, restiamo sempre esposti a dei ciberattacchi da parte dei paesi, come gli USA, che oggi ci vendono i sistemi operativi. Oppure ci dovremo rivolgersi ai russi di Kaspersky Lab, esponendoci ai rischi di ciberattacchi provenienti dalla Russia.
Similmente, per fare un altro esempio, se non siamo in grado di produrre da soli i farmaci che ci occorrono, potremmo essere ricattati (anzi, certamente già lo siamo) non da altri stati, ma dallo stesso oligopolio di multinazionali che oggi producono i farmaci per noi.
Se non siamo in grado di produrre il petrolio ed il gas per alimentare il sistema energetico italiano, saremo esposti (e in parte già lo siamo) ai ricatti delle nazioni da cui dipende il nostro approvvigionamento energetico. Non possiamo creare le materie prime, ma saremmo certamente in grado, in 20-25 anni, di renderci autosufficienti dal punto di vista energetico, investendo sull’efficienza energetica e sull’utilizzo delle fonti di cui disponiamo (sole, geotermia, idroelettrico, vento, mare).
Il fatto di lasciare ideologicamente al “libero mercato” internazionale di avere il controllo di settori strategici porterà, forse, dei vantaggi dal punto di vista economico, dell’efficienza, ma questo al prezzo della nostra libertà democratica.
Ci conviene di più utilizzare a buon prezzo un sistema operativo al posto di Windows o l’energia importata da poche nazioni o utilizzare un sistema operativo più costoso, ma italiano, e dell’energia più costosa prodotta in Italia?
Ovviamente utilizzare energia più costosa significa rendere più costosi i prodotti che esportiamo, per cui dovremmo probabilmente ridimensionare la quota esportazioni della nostra produzione industriale.
E’ evidente che non è neanche pensabile di ritornare ad una stupida autarchia, altrettanto ideologica, di mussoliniana memoria.
La cosa importante è che chi ci governa sia cosciente dell’esistenza di queste limitazioni di sovranità e faccia delle scelte volte a trovare dei compromessi che tutelino il più possibile la nostra libertà e la nostra Democrazia.
Per il momento, purtroppo, veniamo da almeno 25 anni di governo i quali non avevano capito neppure che la cessione della sovranità monetaria avrebbe comportato gravi limitazioni alla nostra libertà democratica. Figuriamoci se erano in grado di pensare alla nostra sicurezza informatica, farmaceutica o energetica.
Ci auguriamo che l’attuale governo e quelli che seguiranno sappiano fare tesoro di quanto accade in giro per il mondo.  


DUQU 2.0, IL PROBABILE PROTAGONISTA DEI CIBERATTACCHI CONTRO IL VENEZUELA

di Alfredo Hurtado

La ciberguerra contro l’iran

Nell’anno 2010, un attacco informatico riuscì a ritardare di due anno il programma nucleare pacifico dell’Iran. Un virus denominato Stuxnet prese il controllo di 1000 centrifughe necessarie a purificare ed arricchire l’uranio, per convertirlo in combustibile nucleare. E riuscì a distruggerne il 20%. Per la prima volta un virus attuava un impatto reale e significativo in una infrastruttura industriale strategica.

Quando si presentarono le conseguenze dell’attacco informatico, gli specialisti iraniani non lo potevano sospettare. Era logico: la centrale nucleare di Natanz si trova a 250 km a sud di Teheran, isolata, con accesso ristretto e con parte degli impianti progettati per resistere ad eventuali attacchi militari.

All’inizio le centrifughe sono state sostituite dopo aver verificato i sistemi di controllo delle stesse. C’era totale incertezza e si è agito piuttosto per esclusione. Stuxnet era così innovativo e inatteso, che era stato programmato per fare attacchi puntuali e sporadici, tutto questo per eliminare ogni possibilità di sospetto. Solo cinque mesi dopo le prime manifestazioni fu stato possibile trovare la vera causa del problema.

Stuxnet fu concepito per obiettivi militari, sviluppato da esperti in ciberguerra di Israele e Stati Uniti, ovviamente nemici dell’Iran. Le attività di intelligence di questi paesi scoprirono che i Controllori Logici Programmabili (PLC) usati per controllare le centrifughe di Natanz erano del produttore tedesco Siemens. Quello che ne seguì fu un danno profondo all’orgoglio dell0ingegneria tedesca.

Un PLC è un computer industriale programmabile per l’automatizzazione dei processi industriali. La sua architettura ha delle similitudini con i computer che si trovano in possesso di chiunque: fonte di potere, la CPU (Unità Centrale di Processo), moduli di comunicazione e di ingresso/uscita. La programmazione di controllo che si progetta per questi dispositivi viene fatta in funzione del processo o dei processi che si devono controllare. Per ottenere il controllo delle variabili (temperature, pressione, flusso, livello, giri per minuto delle centrifughe, ecc.) il PLC deve avvalersi di periferiche sul campo (analogiche o digitali), le quali hanno lo scopo di rilevarle. Questi segnali vengono interpretati dal PLC e questo esegue le necessarie azioni di controllo per mantenere il processo nei valori di progetto e la sicurezza delle operazioni, senza praticamente alcun intervento umano. Allo stesso modo svolgono una funzione di sicurezza ovvero: se qualche variabile non può essere controllata, si eseguono delle azioni su degli elementi finali di controllo (ad esempio delle valvole), per rientrare nei limiti di sicurezza delle operazioni o attivando dei sistemi di protezione che evitano gravi incidenti a persone e/o danneggiamenti alle installazioni industriali.

I modelli di PLC vittime del ciberattacco nella centrale nucleare di Natanz furono i Siemens S7-315 e S7-417. Secondo gli esperti furono due varianti del virus Stuxnet, uno sotto forma di archivio di configurazione del software di Siemens e l’altro che approfittava di alcune vulnerabilità del sistema operativo Windows.  Per le due varianti fu necessaria la cooperazione, volontaria o meno, di persone collegate al lavoro nella centrale di Natanz, considerando che questo impianto nucleare è costituita da una rete informatica industriale totalmente isolata dalle reti esterne. Le due versioni del virus agivano di fatto allo stesso modo, anche se la seconda versione era più aggressiva.

I PLC inviano, tramite dei protocolli di comunicazione delle reti industriali, tutte le informazioni ad un centro di supervisione e controllo, in cui viene mostrato agli operatori dell’impianto il necessario per monitorare costantemente i processi. Questi sistemi sono denominati SCADA (Supervisione, Controllo e Acquisizione dei Dati).

Stuxnet agiva facendo in modo che i PLC di Siemens mandassero dati falsi dei sistemi inerenti alle centrifughe, ovvero gli operatori visualizzavano sui loro schermi dei parametri operativi ideali, mentre la realtà era un’altra.
Le centrifughe andavano da 120 giri per minuto a 63’000 giri per minuto (e viceversa) in pochi minuti, provocando fenomeni di fatica e il danneggiamento permanente dei componenti meccanici, a causa del raggiungimento troppo rapido del valore operativo nominale (63’000 giri per minuto). Nello stesso tempo i sistemi di vapore che azionavano i rotori delle centrifughe videro compromesse le loro valvole di sicurezza che riducevano la pressione si i livelli erano critici. Le eccessive pressioni di esercizio causarono un impatto meccanico sulle centrifughe.

Dopo alcuni mesi gli specialisti poterono rilevare il virus Stuxnet come responsabile della catastrofe industriale a Natanz. Si è trattato del primo atto di ciberguerra della storia.

VARIANTE DI DUQU 2.0 : L’AZIONE IN VENEZUELA

Secondo le comunità di specialisti in materia di cibersicurezza il virus Duqu 2.0 è stato identificato come il probabile responsabile dei blackout dei giorni scorsi in Venezuela, grazie alla collaborazione degli specialisti russi arrivati recentemente nel paese. Tuttavia non si tratta di una notizia ufficiale.

Duqu 2.0 è un derivato del virus Stuxnet. Nel 2015 Kaspersky Lab, la società russa internazionale specializzata nella sicurezza informatica, con sede a Mosca, scoprì delle attività inusuali nelle reti dell’impresa, tipiche di un attacco cibernetico di massa. Era il virus Duqu 2.0.

Se partiamo dal fatto che Duqu 2.0 è una variante migliorata di Stuxnet, è molto facile supporre che il modo per propagarlo nei nostri sistemi di controllo della generazione, trasmissione e distribuzione del carico sia la sua innovazione.

Questo tipo di virus si dissemina tramite qualsiasi periferica collegata ad una rete informatica, comprese le chiavette USB, computer, PLC, stampanti, ecc. Basta un infiltrato per consentire di penetrare, ad esempio, nel cervello elettronico dei sistemi che controllano, coordinano e sincronizzano le turbine del complesso idroelettrico di Guri.

Il giornalista scomparso Ricardo Durán lo diceva già nel 2011, quando tramite una serie di inchieste giornalistiche mise in evidenza una concomitanza di situazioni che dovevano generare allarme: ex lavoratori della PDVSA (società petrolifera statale venezuelana), traditori, arrivarono a costituire parte della CORPOELEC (società governativa venezuelana incaricata del settore elettrico), con i sistemi di controllo, supervisione e sicurezza nel nostro sistema elettrico di produzione occidentale, progettati e realizzati da imprese statunitensi o canadesi.

Tenendo conto di queste scoperte, per i nostri nemici non deve esser stato difficile scandagliare i nostri sistemi elettronici, comprendendo rapidamente dove e come colpirci.

I numerosi attacchi al nostro sistema elettrico nazionale (SEN) mostrano che hanno mantenuto la stessa filosofia nel progetto di diverse varianti del virus: non cercano di distruggere in un solo colpo l’impianto industriale, ma lo fanno appositamente per fasi, per creare maggiori danni e confusione, evitando in questo modo che gli specialisti abbiano tempo di focalizzarsi sulle cause del problema. Un sistema infettato può trovarsi a funzionare in modo perfetto, guastarsi e poi ritornare alla “normalità” con le relative conseguenze. Mentre nel frattempo gli SCADA mostrano sui terminali dati sui parametri totalmente diversi dalla realtà.

Per ora non ci sono dettagli del meccanismo di attacco al nostro sistema elettrico nazionale, però la fase di generazione è la più critica e probabilmente la più colpita. Il controllo di una turbina porta con sé un insieme di sistemi e di variabili critiche: sistemi di lubrificazione, il controllo dei numero di giri per minuto, la temperatura, le vibrazioni, la pressione, la potenza generata.

Deve esser stato drammatico per i nostri operatori del Servizio Elettrico Nazionale visualizzare sui loro computer una situazione molto diversa da quella che era nella realtà. Peggio ancora, è probabile que Duqu 2.0 abbia la stessa caratteristica di Stuxnet per ciò che riguarda lo spegnimento delle macchine dalla sala di controllo: il virus lo rende impossibile.

L’attacco contro il nostro Sistema Elettrico Nazionale è stato senza dubbio una delle tappe Più importanti di un piano di spodestamento del governo del Venezuela. Di fronte al fallimento delle precedenti strategia come la criminale guerra economica, la minaccia di invasione, gli intenti di violare le nostre frontiere, disordini nelle strade e il saccheggio finanziario internazionale, hanno attivato la ciberguerra.

A differenza dell’Iran, l’attacco al Venezuela ha avuto ripercussioni molto più importanti. E’ stata colpita la popolazione di tutto il paese, negandole il diritto ad un servizio elettrico costante ed affidabile. Se in Iran ci fu il primo atto di ciberguerra nella storia, il Venezuela ha subito il primo atto di ciberguerra contro un sistema elettrico nazionale, con impatto su milioni di esseri umani.

COMPRENDEREMO LA LEZIONE ?

Quanto accaduto in Iran nel 2010 non è bastato perché il nostro paese si preparasse ad affrontare degli attacchi informatici alle nostre strutture industriale strategiche. Non sono solo le nostre infrastrutture elettriche ad essere minacciate. Il Venezuela possiede anche un’industria petrolifera altamente tecnologizzata, complessa e di grandi dimensioni. I nostri impianti petroliferi sono stati in gran parte progettati da imprese occidentali.

Alcuni di questi impianti sono molto vulnerabili, in quanto si avvicinano alla fase di obsolescenza tecnologica, operando con sistemi operativi, firmware e/o hardware, non aggiornati e senza più supporto dei produttori. Tutto questo in conseguenza alla situazione economica di scarsi investimenti a cui sono stati sottomessi. Per esempio il sistema operativo Windows XP è ancora quello maggiormente utilizzato nella PDVSA, il quale non riceve più alcun supporto dalla Microsoft per risolvere situazioni di vulnerabilità e di sicurezza.

La nostra politica di sicurezza informatica nei confronti delle nostre industrie e compagnie strategiche deve essere riformulata. Si deve creare un’unità di cibersicurezza sottoposta al controllo del nostro potere esecutivo e si deve dare nuovo impulso allo sviluppo di nostri sistemi operativi, come primo passo per ambiziosi programmi di sviluppo di software.

Sviluppare uno SCADA (sistema di controllo di processi industriali) in Venezuela non è un compito facile. Richiederà tempo e investimenti sulla formazione di nostro personale specializzato. La segmentazione delle nostre reti industriali in base a rigide politiche di gestione in base al loro livello di criticità è vitale. Kaspersky Lab può essere il nostro miglior alleato per iniziare i primi passi nella messa in atto di nostre politiche di cibersicurezza. Ci hanno colpito molto forte, però i nostri nemici non hanno coscienza della nostra capacità di resistenza. Vinceremo nuovamente.

Lascia un commento