Il codice maligno più sofisticato di sempre, capace di agire indisturbato e spiare nelle reti informatiche di aziende di precisi settori industriali, dalle telecomunicazioni all’energia. E’ questo il malware Regin, scoperto dagli esperti di sicurezza di Symantec: il codice (di cui sono state portare alla luce larghe porzioni, ma non l’interezza) verrebbe usato per azioni di spionaggio nei confronti di aziende-target e sarebbe stato creato, con tutta probabilità, da un ente governativo o organizzazione di intelligence. Quale? Symantec non ha una risposta, ma, considerata la natura estremamente complessa del malware e il tempo e le risorse richiesti per il suo sviluppo, i nomi potrebbero essere i “soliti noti”: Usa, Israele, Cina.
ALLA SCOPERTA DI REGIN
La scoperta di Symantec nasce dallo stesso team di ricerca dell’azienda di security che quattro anni fa ha contribuito, insieme ad altre società della sicurezza, a portare alla luce il famigerato Stuxnet, la prima arma digitale globale mai scoperta che, secondo la teoria più accreditata, sarebbe stata creata dalle autorità Usa e israeliane per sabotare il programma di ricerca nucleare iraniano.
Il nuovo codice maligno ribattezzato Regin viene descritto da Symantec come un “Trojan” e “un complesso malware la cui struttura dimostra un grado di competenza tecnica raramente visto prima”. Il codice ha “un esteso range di capacità” che dà alle persone che lo controllano “un potente strumento per condurre una sorveglianza di massa”. “Regin è una minaccia estremamente complessa usata nella raccolta sistematica di dati o per vaste campagne di intelligence. Lo sviluppo e la gestione di questo malware richiedono un enorme investimento di tempo e risorse, il che indica che uno Stato ne è responsabile. La sua struttura è compatibile con operazioni di sorveglianza persistenti e di lungo termine contro precisi target”, afferma Symantec.
RUSSI E ARABI NEL MIRINO
I ricercatori sostengono che Regin è stato usato in quella che appare come un’operazione di spionaggio tuttora in corso e avviata nel 2008, interrotta improvvisamente nel 2011, e ripresa nel 2013.
Sono state rilevate circa 100 infezioni da Regin, la maggior parte (il 52%) in Russia e Arabia Saudita; il resto si divide tra Messico, Irlanda, India, Afghanistan, Iran, Belgio, Austria e Pakistan. Nessuna infezione da Regin è stata trovata in Usa o Cina. Inoltre, il 48% delle infezioni ha preso di mira singole persone e piccole imprese, mentre il 28% degli attacchi si è rivolto alle reti telecom (backbone) per accedere alle chiamate instradate sulle infrastrutture delle aziende telefoniche. Il 9% delle infezioni fa riferimento ad aziende del settore ricettivo, come gli alberghi, mentre i restanti attacchi prendono di mira aziende dell’energia, compagnie aeree e enti di ricerca.
Symantec ha cominciato a sospettare dell’esistenza di Regin dopo che dei clienti hanno scoperto porzioni di questo codice maligno e le hanno spedite alla società di security per analizzarle. “Abbiamo capito che erano solo parti di un codice più complesso e abbiamo cominciato a indagare a fondo”, spiega Liam O’Murchu, ricercatore di Symantec. Ora il software di security di Symantec è in grado di rilevare questo malware.
O’Murchu non fa nomi di governi che potrebbero essere all’origine del malware, ma afferma: “Il miglior indizio che abbiamo è che ci sono Paesi infettati e altri che non sono stati infettati. Sappiamo che a crearlo deve essere stato un governo con alte competenze tecnologiche. Si tratta di una campagna di spionaggio di ampia portata che risale al 2008, forse anche al 2006”.
UN ATTACCO “MODULARE”
Regin agisce sui sistemi su cui gira Microsoft Windows. Attacca in fasi diverse; solo la prima fase è rilevabile e apre la porta alle fasi successive, ciascuna delle quali decritta ed esegue le fasi seguenti, fino ad arrivare a catturare dati dal computer infetto. L’approccio è anche “modulare”, per cui il malware installa funzionalità diverse a seconda dell’obiettivo dell’attacco.
Non è del tutto chiaro come il malware si diffonda: uno dei modi sfrutterebbe l’accesso dell’utente a versioni fasulle di siti web noti, ma non è certo. Una volta compromesso un computer, i controller di Regin possono avviare la loro attività di spionaggio con tecniche molto avanzate perché specializzate nei singoli settori industriali. Il computer infetto viene controllato da remoto, con capacità di copiare files dall’hard drive, accendere la web cam o il microfono o anche leggere quanto viene digitato sulla tastiera, per esempio le password. In alcuni casi Regin include software per monitorare il traffico di rete e uno strumento per gestire le stazioni base mobili.
A dimostrazione di quanto Regin sia sofisticato, i ricercatori di Symantec sottolineano la difficoltà di rilevarlo: “Anche quando si riesce a scovarlo, è molto difficile capire che cosa stia facendo”, osserva Symantec. Diversi pezzi di Regin sono ancora in circolazione e devono essere portati alla luce. “Noi pensiamo che ci siano componenti di Regin ancora da scoprire e che ne esistano più funzionalità e versioni. Symantec continua la sua analisi e la sua indagine”, dichiara la società.
CYBER-ATTACCHI SEMPRE PIU’ MIRATI
Intanto la società di security russa Kaspersky Labs (che ha contribuito alla scoperta di Stuxnet) osserva, sul Financial Times, che le organizzazioni criminali prendono sempre più spesso di mira i sistemi informatici delle aziende per ricavarne un profitto e che i cyber-attacchi sono sempre più sofisticati e “mirati” nei confronti di precisi segmenti industriali.
“E’ un malware senza precedenti”, conferma Orla Cox, director of security response di Symantec, che descrive Regin come il più “straordinario” software per azioni di hacking mai sviluppato, che probabilmente ha richiesto mesi se non anni per essere messo a punto.
Tuttavia, frenano le fonti del Ft, è difficile arrivare a conclusioni sull’origine e lo scopo di Regin. “Non è detto che se il malware non ha colpito un certo Paese, allora questo Paese ne è l’origine”, avverte il rappresentante di un’agenzia di intelligence occidentale.