Dal 2007 al 2021 una “serie di sfortunati eventi” ha colpito la centrale nucleare di Natanz, in Iran. Di pari passo con i negoziati del Paese sul nucleare, un nuovo incidente ha colpito la centrale agli inizi di questo aprile. Stati Uniti e Israele non hanno mai nascosto, già dal 2006, la loro preoccupazione per la dotazione, da parte dell’Iran, di un arsenale nucleare. Proprio dall’intersecarsi degli interessi delle potenze sulla non proliferazione delle armi nucleari, è nata la prima arma cibernetica della storia. Nel 2010 il mondo ha infatti scoperto, a distanza di anni dall’effettivo inizio dell’attacco, che mentre gli occhi di tutti erano puntati sulla minaccia rappresentata dall’Iran, Israele e Stati Uniti hanno confezionato l’arma cibernetica per eccellenza: Stuxnet.
Back in the 0-days: all’origine dell’attacco
Nel febbraio del 2007 a Natanz, centocinquanta miglia a Sud di Teheran, furono avviate le operazioni per un programma di arricchimento dell’uranio. Già tra il 2006 e il 2008 alcuni paesi del Consiglio di Sicurezza delle Nazioni Unite si erano mostrati preoccupati per il programma di nuclearizzazione dell’Iran. Tuttavia, questo non era però bastato per fermarlo. La condotta iraniana è dovuta al fatto che l’arricchimento dell’uranio, entro certi limiti e quindi per scopi non bellici, è concesso dal Trattato di Non-Proliferazione Nucleare. Come riportato nell’articolo di Jon R. Lindsay, nonostante il programma di Natanz fosse ufficialmente destinato alla produzione di energia, Stati Uniti e Israele, secondo quanto da essi sostenuto, avevano prove a sufficienza del fatto che il programma di arricchimento dell’uranio fosse in realtà del tipo Highly Enriched Uranium (HEU), quindi volto allo sviluppo di armi nucleari. La prima reazione delle due potenze fu quella di pianificare degli attacchi aerei mirati alla distruzione della centrale. In un secondo momento, invece, si optò per una soluzione più discreta che fosse in grado di rallentare il progetto iraniano in maniera meno plateale.
Con tali premesse nacque la prima arma cibernetica della storia: Stuxnet. Nel 2007, sotto la presidenza di George W. Bush, e poi nel 2009, con l’amministrazione Obama, prese vita l’operazione Olympic Games. Come ricostruirà Kim Zetter in Countdown to Zero Day, l’arma fu confezionata dalla National Security Agency (NSA) statunitense, nello specifico dal team conosciuto come Tailored Access Operations (TAO), e dall’Unità 8200, sottoposta al comando di Aman, il Direttorato dell’Intelligence militare, a sua volta parte delle Israel Defense Forces (IDF). Il nome dell’arma, che arriverà anni dopo la sua creazione in laboratorio, deriva dalle iniziali delle cartelle del sistema operativo nel quale il virus si nascondeva. Stuxnet è un virus del tipo worm, la cui caratteristica è la capacità di auto-replicarsi senza necessità di intervento da parte degli operatori, così da potersi propagare in automatico di macchina in macchina. Il pezzo di codice era basato su ben quattro vulnerabilità, chiamate in gergo tecnico 0-days, in quanto le aziende proprietarie del software in questione hanno avuto “zero giorni” a disposizione per rilasciare un aggiornamento che aggiustasse la falla del sistema. Solitamente i virus sfruttano una, o massimo due, vulnerabilità. Già da questo particolare si comprende il potenziale distruttivo dell’attacco. L’altra caratteristica di Stuxnet, che gli ha garantito la nomea di “arma estremamente sofisticata”, è la capacità di muoversi nei sistemi senza essere rilevato in alcun modo, al contempo generando un feedback ai responsabili dell’attacco circa lo stato di attività dell’operazione. Non solo: il virus malevolo è stato in grado di superare i “vuoti d’aria” – macchine non connesse alla rete Internet – e penetrare i sistemi della centrale di Natanz, probabilmente utilizzando un “veicolo umano” – ad esempio, il virus potrebbe essere stato trasportato in stato di latenza all’interno di una pennetta USB di un operatore tecnico della centrale, precedentemente infettato.
Stuxnet è stata la prima arma digitale rilasciata con l’intento di simulare l’effetto di un attacco cinetico, ma qual era il target? Centinaia di centrifughe della centrale di Natanz. Le centrifughe, utilizzate per l’arricchimento dell’uranio, sono state manomesse in maniera talmente tanto graduale e impercettibile, da non destare il sospetto di una loro possibile disfunzione, fino al punto in cui i danni alla macchina erano talmente severi da renderla inutilizzabile. Questa procedura poteva durare settimane, o mesi. Stuxnet, infatti, ha manomesso la velocità di rotazione delle turbine, alzandola gradualmente fino ad innescare il punto di rottura. Appare chiaro che il movente dell’attacco fosse quello di rallentare, se non riuscire a bloccare, il progetto nucleare dell’Iran. Il risultato finale è stata la sostituzione, nel corso del tempo, di centinaia di centrifughe. Anche grazie al movente si è giunti all’attribuzione dell’attacco, vicenda altrettanto complessa.
Come sottolineato da Carola Frediani in Guerre di Rete, Stuxnet è stato costruito seguendo il principio della plausible deniability o della negazione plausibile. Cosa significa? La capacità del malware di mantenere un collegamento con i mandanti dell’operazione dando la possibilità di “intervenire di nascosto”, piuttosto che la struttura complessa del virus che lo rendeva invisibile anche quando in esecuzione, fanno parte di un meccanismo di tutela che avrebbe dovuto impedire l’attribuzione dell’attacco o, quantomeno, garantirne una negazione plausibile qualora scoperto. Il virus venne identificato solamente anni dopo la sua messa in campo, nel 2010, quando una compagnia di antivirus basata a Minsk, la VirusBlockAda, si accorse che il computer di uno dei suoi clienti iraniani si spegneva e riavviava in loop, in maniera piuttosto insolita. Da quel momento in poi, fu solo questione di tempo prima che altre note aziende di cyber sicurezza risalissero al virus e ne identificassero l’origine.
Dopo Stuxnet: sviluppi in Israele e Iran negli ultimi anni
Il Medio Oriente è caratterizzato ormai da tempo da un’intensa attività di criminal hacking. Il cyberpower, fin dalla scoperta di Stuxnet, si è rivelato un fattore di vantaggio fondamentale nella competizione tra le potenze regionali. Non è un caso, infatti, che dal 2010 l’Iran abbia adottato una serie di misure per migliorare le proprie capacità cyber. Proprio in quell’anno, infatti, il governo di Teheran ha istituito il Cyber Defense Command, responsabile della difesa delle infrastrutture critiche da attacchi cibernetici. Parallelamente, è stata creata l’Iran Cyber Army, legato al Corpo delle Guardie Rivoluzione Islamica (IRGC) e responsabile di numerosi attacchi cibernetici contro Stati nemici. Nel 2012, ad esempio, l’allora capo dell’IRGC Mohammad Ali Jaafari, dichiarò che questa forza militare aveva colpito le reti informatiche dei principali nemici dell’Iran.
La volontà dell’Iran di dotarsi di un arsenale di armi cibernetiche è considerata una reazione all’attacco Stuxnet. Da un lato, il governo di Teheran ha cercato di accrescere le misure difensive, ad esempio attraverso la cooperazione con altri paesi. Da ultimo, l’accordo siglato con la Russia che, sebbene sia stato formulato in chiave difensiva, può accrescere le capacità offensive iraniane, una minaccia concreta per Israele. Dall’altro, l’Iran ha adottato un approccio sempre più aggressivo nel cyberspace, lanciando campagne di hacking e cyber-espionage contro attori regionali e internazionali.
Lo scorso marzo è stata scoperta una campagna di phishing collegabile ad attori nation-state iraniani che aveva come obiettivo ricercatori specializzati in genetica, neurologia e oncologia con sede negli Stati Uniti e in Israele. I due paesi, infatti, sono le principali vittime degli attacchi provenienti dall’Iran. Ciò è determinato da un’asimmetria di potere. Stati Uniti e Israele godono di una superiorità tecnologica rispetto a Teheran. Inoltre, essi ricoprono un ruolo più influente nella comunità internazionale.
Il cyberspace permette all’Iran di rilanciarsi come “grande” potenza su un piano geopolitico. Questo perché gli attacchi informatici sono asimmetrici per natura. L’attaccante sarà sempre in vantaggio rispetto alla vittima. Inoltre, le tecniche di hacking permettono non solo di esercitare la forza, attraverso attacchi di tipo disruptive, ma anche lo spionaggio e, quindi, la raccolta di informazioni. Ciò può comportare un vantaggio informativo che riequilibra, almeno in parte, le inferiori capacità militari.
Negli ultimi due anni, la guerra “invisibile” tra Israele e Iran ha subito notevoli sviluppi. L’elemento centrale di questo conflitto è il focus sulle infrastrutture critiche. Il contesto regionale molto “caldo”, infatti, mette in luce come alcune di queste siano di importanza vitale. L’attacco informatico al porto iraniano di Shahid Rajaee è un classico esempio degli effetti distruttivi che può avere lo strumento cibernetico usato in chiave offensiva. L’incidente ha infatti bloccato i sistemi di gestione del traffico navale del porto. L’attacco è stato identificato come una rappresaglia all’intrusione di hacker iraniani nei sistemi israeliani per la distribuzione idrica e la gestione delle acque reflue.
Un altro elemento centrale nel conflitto tra i due Stati, come già anticipato precedentemente, è la questione nucleare. Israele è dichiaratamente contraria alla riattivazione del programma iraniano di arricchimento dell’uranio. L’attacco Stuxnet è l’esempio più concreto di questa ferma opposizione, ma non è l’unico. Nel 2020 si possono segnalare due punti di svolta in questo senso. In primis, l’esplosione di una fabbrica per l’assemblaggio delle centrifughe nel sito nucleare di Natanz, avvenuta a luglio. Essa sarebbe stata causata, secondo alcune fonti, da un attacco cibernetico israeliano. L’altro elemento è costituito dall’assassinio dello scienziato Mohsen Fakhrizadeh, considerato il responsabile del programma nucleare iraniano, attribuito al Mossad. Tali incidenti, secondo molti analisti, sono riconducibili a tale conflitto ormai decennale che ha visto contrapposti Iran, Israele e Stati Uniti.
Sia Israele che l’Iran hanno da tempo adottato un approccio particolarmente offensivo al cyberspace, come evidenziato dal National Cyber Power Index del Belfer Center, che li classifica tra le nazioni maggiormente assertive in tale dominio, sebbene vincolate a una limitatezza delle risorse utilizzabili – almeno secondo i dati pubblicamente disponibili. L’incidente di Natanz avvenuto a inizio aprile sembrerebbe confermare l’attualità del conflitto asimmetrico, in atto ormai da anni. Tuttavia, rimane da appurare se si sia trattato o meno di un attacco informatico e se questo sia riconducibile a Israele.
Nonostante ciò, è indubbia la volontà di Israele di colpire l’Iran in una fase caratterizzata dal ritorno ai negoziati sul nucleare di Vienna. L’incidente di Natanz, infatti, è avvenuto in concomitanza con uno dei round del negoziato. L’attacco potrebbe rappresentare un modo per ribadire agli Stati Uniti che Israele non è disposto ad accettare che l’Iran diventi una potenza nucleare. Il governo di Teheran, inoltre, negli scorsi mesi ha siglato accordi con Russia e Cina per cooperare nel settore ICT. Se si aggiunge quest’ultimo elemento agli sviluppi iraniani in ambito nucleare, emerge uno scenario in cui Israele percepisce una grave minaccia per la propria sicurezza. Di conseguenza, in concomitanza con questi eventi, la guerra cibernetica tra i due paesi tende a subire un’accelerazione.
