Un Virus che dal 2008 agisce indisturbato e in grado di spiare chiunque, diffuso in tutto il mondo e sotto il controllo di servizi segreti che lo utilizzano per raccogliere informazioni su larga scala.
A lanciare l’allarme è Symantec, che ha pubblicato un report dettagliato sulla scoperta di uno strumento di spionaggio informatico battezzato “Regin”.
La sua analisi, ancora in corso, ha già richiesto più di un anno di lavoro.
Al momento, però, è impossibile dire quanto la rete di spionaggio sia estesa.
DIFFUSIONE DEL TROJAN
Regin infatti è stato individuato in meno di cento computer in una decina di paesi: Pakistan, Afghanistan, Iran, Arabia Saudita, Russia, India, Irlanda, Messico, Austria e Belgio.
Il basso numero di esemplari, però, non deve far pensare a un fenomeno marginale.
Poco meno del 50% delle vittime accertate sono aziende che operano nel settore delle telecomunicazioni. Secondo quanto ricostruito dagli analisti di Symantec, in questi casi l’attacco avrebbe permesso agli autori di Regin di accedere alle loro infrastrutture e intercettare il traffico telefonico direttamente “alla fonte”.
La versione individuata da Symantec risale al 2008 e, come spiega il rapporto, la sua scoperta è dovuta al caso.
Questa versione del virus, almeno in teoria, avrebbe dovuto essere cancellata dalle macchine infette.
Qualche cosa, però, è andato storto.
La presenza del trojan sui PC analizzati è dovuta a una rimozione incompleta o al fatto che le macchine in questione fossero nel frattempo diventate inaccessibili agli ignoti pirati informatici, magari perché scollegate da Internet.
Proprio partendo da questi indizi gli analisti hanno cominciato a ricomporre il puzzle che ha portato alla scoperta di Regin.
Il sospetto è che il Trojan sia ancora attivo, utilizzando una nuova versione che avrebbe sostituito quella individuata da Symantec.
A confermare l’ipotesi c’è la scoperta di alcuni componenti simili a quelli analizzati, che utilizzano però un’architettura a 64 bit per adattarsi ai nuovi sistemi operativi.
SERVIZI SEGRETI?
Sull’identità di chi ha creato il trojan non si sa ancora nulla, ma gli esperti che lo hanno analizzato hanno pochi dubbi sul “profilo” degli autori.
La sua struttura, infatti, ricorda molto da vicino quella di Stuxnet, il virus realizzato dai servizi segreti statunitensi in collaborazione con Israele e utilizzato nell’ambito dell’operazione “Olympic Games” per sabotare uno stabilimento per l’arricchimento dell’uranio in Iran.
A differenza di Stuxnet, però, Regin ha obiettivi più ampi.
Si tratta infatti di uno strumento di spionaggio “a largo spettro” che è in grado di adattarsi a diverse esigenze e nascondere la sua presenza con incredibile efficacia.
Quello che è certo è che si tratta di un software estremamente complesso, la cui creazione ha richiesto enormi investimenti ed anni di lavoro.
Le tecniche utilizzate per aggirare le protezioni mostrano un livello di competenza che lascia pochi dubbi sull’origine del virus.
STRUTTURA DEL VIRUS
Sotto il profilo tecnico, Regin come detto è un virus molto complesso.
Il trojan ha una struttura a moduli che si attivano in sequenza.
Ognuno di questi è crittografato per sfuggire al controllo degli antivirus e i più aggressivi operano a livello del Kernel, il “cuore” del sistema operativo.
Come risultato, Regin è praticamente invisibile.
Il software, inoltre, può essere aggiornato a distanza per aggiungere nuove funzioni o adattarlo a nuove esigenze.
Gli esperti di sicurezza hanno classificato 20 moduli diversi utilizzati per spiare le vittime, ad esempio attraverso la cattura di schermate o la registrazione di tutto ciò che viene digitato sulla tastiera.
Regin, però, è anche in grado di intercettare tutto il traffico Internet che transita sul computer infetto, rubare le password utilizzate, accedere a qualsiasi file memorizzato sul disco e addirittura recuperare i dati che sono stati precedentemente cancellati dall’hard disk.
Addirittura è in grado anche d'intercettare telefonate.
Pochi, invece, gli indizi sulle modalità di diffusione del trojan.
Se in almeno un caso sembra avere sfruttato una vulnerabilità nel programma di messaggistica istantanea Yahoo! Messenger.
Nessun commento:
Posta un commento