Dopo anni di attività segreta è stato scoperto un nuovo malware realizzato probabilmente da uno Stato con scopi di cyber spionaggio.
Un white paper che Symantec ha pubblicato oggi descrive il trojan, chiamato Regin, come estremamente complesso e facente parte di un sistema di cyber sorveglianza a lungo termine. Il tutto richiama alla mente codici come il famoso Stuxnet, il Duqu, il Flame.
Fa anzitutto riflettere la presunta data di creazione del malware: 2008. Il fatto che il codice sia rimasto praticamente invisibile tutto questo tempo fa capire quanto siano sofisticate le sue caratteristiche stealth. Quelli erano gli anni in cui Israele e gli Stati Uniti condussero la famosa “Operation Olympic Games” (notare che i due Paesi non hanno mai ammesso l’esistenza di tale operazione) che portò all’infezione del laboratorio nucleare iraniano di Natanz con il malware Stuxnet, oltre che al rilascio del malware Flame con scopi simili.
Il Regin ha colpito computer soprattutto in Russia e in Arabia Saudita, che da soli hanno più della metà di tutte le infezioni riscontrate, oltre che in Messico, Irlanda, India, Afghanistan, Iran, Pakistan, Belgio e Austria.
Il grande elenco di Paesi dove è stata riscontrata l’infezione lascia capire che qualcosa sia sfuggito di mano. Difatti più è vasto il raggio di azione di un malware, più aumentano le possibilità che venga scoperto. Un malware che infetta solo i target che si intendono colpire può restare nascosto per anni, ma quando il codice inizia a “viaggiare” troppo è la volta che qualcuno se ne accorge. Come probabilmente è avvenuto in questo caso.
Un altro elemento di attenzione è rappresentato dal vettore di infezione, che non è ancora del tutto chiaro, ma che su almeno un computer ha coinvolto una vulnerabilità di Yahoo! Instant Messenger che non era ancora nota. Vulnerabilità del genere sono conosciute anche come “zero day“, poiché presentano exploit già noti agli hacker (o al grande pubblico) senza che il produttore abbia provveduto a fornire una patch. Quando la vulnerabilità è nota agli hacker ma non al produttore uno zero day può arrivare a valere anche diverse centinaia di migliaia di Euro. Esiste un mercato per questo genere di informazioni, ipotizziamo quindi che i creatori del malware avessero a disposizione i fondi necessari per acquistare questo e potenzialmente altri zero day. Fondi del genere sono disponibili solo a organizzazioni di alto livello o a Stati.
Poiché il trojan è composto da diversi moduli scaricabili all’occorrenza, e visto che non tutti i moduli sono stati scoperti, non è ancora chiara l’estensione di tutte le operazioni del codice. Quello che si sa finora è che il Regin può:
- intercettare il traffico di rete
- trasferire dati verso l’esterno
- ottenere informazioni sul computer infetto
- rubare password
- recuperare sul computer file cancellati
- catturare schermate
- prendere il controllo del puntatore del mouse
- trovare server IIS e rubare i log
- intercettare il traffico di amministrazione dei base station controller GSM
Non è ancora chiaro quale Paese abbia creato il Regin. In alcune notizie si ipotizza che dietro vi sia uno Stato occidentale – visti i Paesi vittima – ma in assenza di elementi più chiari ogni speculazione sarebbe avventata.
Fonti:
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
http://www.bbc.com/news/technology-30171614
http://in.reuters.com/article/2014/11/23/symantec-malware-regin-idINKCN0J70S720141123
http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?pagewanted=all&_r=1&
http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/gJQA6xBPoV_story.html