“Due parole prima di cominciare: non ne so nulla e anche se ne sapessi qualcosa, non ve lo direi”. Michael Hayden, generale in pensione dell’aeronautica statunitense, mette subito le mani avanti: questo è quel che succede quando a un ex direttore della CIA e della NSA, che si è occupato di spionaggio e sorveglianza elettronica sotto George W. Bush e Barack Obama, si fa qualche domanda su Stuxnet. E cioè di quello che molti esperti considerano uno spartiacque nel complesso mondo delle cyberarmi e in quello, altrettanto complesso, dei conflitti geopolitici.
Facciamo un po’ di storia. Nel giugno del 2010, un’azienda di sicurezza informatica bielorussa, la VirusBlokAda, rivelò di aver individuato due campioni di un malware in grado di diffondersi tramite chiavette USB infette, sfruttando una vulnerabilità di Windows 7 di cui all’epoca neanche la Microsoft era consapevole. Queste vulnerabilità sono pericolose, sono le falle per le quali non esistono ancora le toppe adeguate, sono i tunnel che conducono al castello e di cui i costruttori non si sono ancora accorti. Tramite loro, virus, worm e trojan possono infiltrarsi e causare danni. Se ne scoprono sempre di più e sono molto ambite in un mercato ricco come quello del cybercrimine e del cyberspionaggio, ma il numero di attacchi che ne sfruttano una oscilla fra i nove e i quindici all’anno negli ultimi quattro anni.
Queste vulnerabilità hanno un nome: zero days. E il malware scoperto dai bielorussi – ribattezzato Stuxnet, dalla combinazione di due parole chiave scritte nel suo codice, “.stub” e “mrxnet.sys” – non ne conteneva solo una, ma addirittura quattro.
Zero Days è anche il titolo del documentario con cui Alex Gibney, regista e produttore americano, ha ricostruito e raccontato queste indagini, dipanando l’intricata matassa della storia di Stuxnet. Che dalla Bielorussia risale all’Iran, e da lì a Israele e Stati Uniti.
Gibney ha vinto un Oscar e diversi Emmy con i suoi documentari. E si vede. Zero Days, uscito negli USA a luglio ma presentato in anteprima in Italia all’ultimo Trieste Science+Fiction Festival, ha il piglio del thriller, un ritmo serrato e una bella schiera di personaggi di rilievo chiamati a rispondere – o a non rispondere, il che comunque dice molto – alle domande del regista: dal Michael Hayden che abbiamo citato all’inizio a David Sanger, giornalista del New York Times che fu fra i primi a indagare a fondo su Stuxnet, da Emad Kiyaei, direttore degli affari esteri del Concilio Americano Iraniano, a Yossi Melman, giornalista israeliano che si occupa di intelligence per il quotidiano Haaretz. Consulenti informatici, analisti politici, giornalisti, ex membri di agenzie di spionaggio, esperti di cybersicurezza, dalle cui parole emerge una trama degna dei migliori film di spionaggio.
La tesi del film è che Stuxnet sarebbe stato creato da una collaborazione fra Stati Uniti e Israele volta a danneggiare il programma nucleare iraniano. Secondo la ricostruzione di Gibney, a sua volta basata sulle indagini di Sanger, Melman e altri, Washington avrebbero accettato di lavorare insieme a Gerusalemme su questo progetto per evitare che gli israeliani prendessero iniziative più radicali, bombardando obiettivi strategici in Iran. La proverbiale miccia nella polveriera, insomma, come se il Medio Oriente non fosse già un territorio abbastanza movimentato.
Nasce così l’operazione “Giochi Olimpici”, iniziata nel 2006 sotto l’amministrazione Bush e portata avanti da Obama, che aveva come bersaglio il principale complesso di arricchimento dell’uranio di tutto l’Iran a una trentina di chilometri dalla città di Natanz, nell’omonima contea della provincia di Isfahan.
Un obiettivo ambizioso, dal momento che i sistemi industriali di controllo dell’impianto erano isolati dalla rete. Non solo era quindi necessario introdurre un worm nel sistema (ecco dove entra in gioco la chiavetta USB infetta), ma il worm in questione doveva anche essere in grado di agire in maniera autonoma dai suoi sviluppatori. Una volta dentro, doveva cavarsela da solo. Doveva attaccare il sistema di controllo industriale responsabile della rotazione delle centrifughe usate per separare i materiali nucleari. Doveva agire senza che i sistemi elettronici di sicurezza rilevassero attività anomale. Doveva impedire eventuali interventi manuali per risolvere il problema. Doveva colpire senza lasciare traccia.
Ma soprattutto, doveva provocare un danno strutturale, alterando la velocità di rotazione delle centrifughe fino a provocarne la rottura.
“Stuxnet è stato un punto di svolta. Era la prima volta che si veniva a sapere di un software in grado di danneggiare fisicamente un hardware”, mi racconta Carola Frediani, giornalista esperta di nuove tecnologie e autrice di libri su hacking, cyberattivismo e sicurezza informatica. “Senza contare che quella cyberarma rientrava in un’operazione di sabotaggio condotta da Stati Uniti e Israele. I due governi non lo ammettono, ma ormai si dà per scontato che Stuxnet venga da lì”.
Il sabotaggio ha successo: molte centrifughe si rompono, diversi scienziati e ingegneri iraniani vengono ritenuti incompetenti e quindi licenziati, e la produzione di uranio arricchito dell’allora presidente Ahmadinejad subisce un rallentamento. Il successo galvanizzò i responsabili dell’attacco. Soprattutto Israele, a quanto pare, che volle calcare la mano. Una nuova versione del malware venne introdotta a Natanz, ma qualcosa andò storto. Un errore nel codice, forse dovuto a una modifica introdotta dagli israeliani nel tentativo di rendere il worm più aggressivo. Fatto sta che Stuxnet uscì dal complesso e, una volta libero, fece ciò per cui era stato programmato: diffondersi.
Il che però non trattenne Obama dal proseguire con l’operazione Giochi Olimpici. Secondo una fonte riservata dell’NSA, Stuxnet faceva parte di una missione più ampia, Nitro Zeus, volta a destabilizzare non solo il programma nucleare ma anche i sistemi di comunicazione, le difese aeree e la rete elettrica dell’Iran. “Stati Uniti e Israele si erano infiltrati in maniera massiccia in molte infrastrutture critiche iraniane e si tenevano pronti a ogni evenienza”, continua Frediani. “Si tratta di uno scenario che non è poi così atipico, anzi, è molto probabile che sia tutt’ora in corso una sorta di guerra di posizione fra nazioni, che si intrufolano nei sistemi di altri paesi i quali a loro volta fanno altrettanto, pronti a intervenire”.
Un contesto nel quale Stuxnet ha giocato un ruolo importante; la sua diffusione selvaggia al di fuori di Natanz ha infatti messo in allarme i produttori di antivirus e il worm è diventato di dominio pubblico. Il che da un lato ha consentito le indagini informatiche e giornalistiche che hanno gettato luce su Giochi Olimpici e Nitro Zeus. E dall’altro ha reso disponibile a tutti il codice di Stuxnet, dando nuovi spunti agli sviluppatori di cyberarmi.
“Quando emergono questi grandi casi, noi vediamo solo la punta dell’iceberg”, prosegue Frediani, “ma dietro ogni operazione c’è un lavoro di preparazione molto lungo, pianificato da parecchio tempo”. Dietro questo lavoro ci possono essere gruppi statali, parastatali o addirittura di mercenari al servizio di qualche nazione, ma tutti sono accomunati da una cosa: “si muovono in maniera silenziosa e continua, non a caso le loro azioni vengono chiamate advanced persistent threat. Una volta dentro a un sistema, passare dallo spionaggio classico al vero e proprio cybersabotaggio, come nel caso di Natanz, è ormai una semplice questione di upgrade di un software”.