Complicatissimo, difficile da identificare, multifunzionale: il supertrojan Regin permette di compiere attacchi cibernetici evoluti a danno di governi, aziende e privati. Ecco perché questa nuova superarma dei servizi segreti può essere così pericolosa.
Cosa fa Regin di cosi inquietante?
- Sistema modulare: gli ideatori possono “confezionarsi” il virus ad hoc ed effettuare operazioni di spionaggio sui computer delle vittime. Carpire passw ord, scattare foto delle videate del computer, tenere sotto controllo il flusso dei dati o ripristinare materiale cancellato, per passarlo al setaccio? Tutte queste operazioni non comportano alcun problema.
- Contaminazione insidiosa: i criminali indirizzano i malcapitati verso pagine Internet infette, dove verrà “iniettato” il codice fraudolento. Esempio: la vittima avvia una richiesta di ricerca, che viene intercettata e che provvede a richiamare una versione contraffatta del motore di ricerca contenente il virus. Le vittime non si accorgono minimamente dell’infezione.
- Difficile da scoprire: Regin agisce per lungo tempo in estrema segretezza, la sua struttura modulare rende molto complesso lo smascheramento. Il virus cancella le proprie tracce in modo permanente. Solo un minuscolo segmento di questo trojan non è criptato, consentendo quindi di ripristinare l’esistenza del virus. Tutti gli altri segmenti non lasciano alcun residuo. Il trojan, completo di tutti i suoi moduli, richiede uno spazio di circa 20 Megabyte, poco più di un paio di fotografie.
A questo punto, i criminali riusciranno a gestire il fastidioso spione attraverso una connessione Internet criptata, in grado di lavorare completamente senza dare nell’occhio.
Perché Regin è cosi pericoloso?
Questi moduli “su misura” consentono di sferrare attacchi spyware particolarmente distruttivi. Gli esperti della sicurezza hanno scoperto, ad esempio, un’espansione del trojan Regin su un computer dell’azienda di telecomunicazioni belga Belgacom, che teneva sotto controllo le centraline di telefonia mobile. I pirati erano riusciti a intercettare informazioni telefoniche e dati dalle cellule delle connessioni mobile, a selezionarli e a inoltrarli altrove. Regin potrebbe essere addirittura in grado di spiare computer privi di collegamento Internet. Trucco: il trojan provvede anzitutto a memorizzare i dati sottratti sull’hard disk del PC infetto. Basterà collegarsi con un altro computer, ad esempio quell’amministratore di rete, affinché il virus provveda a copiare fulmineamente tutti i dati. Collegandosi con quest’ultimo computer via Internet, le informazioni trafugate entreranno in possesso dei malfattori.
Chi sono le vittime?
Fino ad oggi sono state scoperte alcune centinaia di attacchi informatici. Marco Preuss di Kaspersky è riuscito a rintracciare bersagli rilevanti in Russia e in Medio Oriente (vedi grafico, in alto), ma Regin sta purtroppo perpetrando i suoi reati anche in paesi europei. Il quotidiano austriaco “Standard” ha riferito che anche l’Intemational Atomic Energy Agency a Vienna (IAEA), che partecipa ai colloqui tra Iran e i paesi occidentali, fa parte delle vittime. Quasi la metà delle infezioni accertate di Regin, può avere colpito privati o piccole aziende. Marco Preuss ritiene che anche la Germania rientri tra gli obiettivi.
Chi si nasconde dietro questo virus?
È certo che dietro Regin non si nascondono criminali da strapazzo o hacker genialoidi, che hanno programmato il virus in piena autonomia. Lo sviluppo di questo trojan, deve avere richiesto enormi risorse finanziarie e un lavoro di anni. La complessità del virus e la modalità di funzionamento di Regin, porta la maggior parte degli esperti a concludere che di sotto, si nasconda un potente servizio segreto. La frequenza degli attacchi riscontrata in Medio Oriente potrebbe fare pensare ad un organismo occidentale. Sospettati principali sono l’NSA americano e il GCHQ britannico.
Regin potrà difenderci dal terrorismo?
Purtroppo no, perché Regin è concepito per un controllo permanente sul lungo periodo. Gli obiettivi sono principalmente industrie e scienziati di paesi europei e asiatici. Si può affermare, che il supertrojan indaga soprattutto su segreti industriali. KuLsal Berk di F-Secure è certo che “si tratta soprattutto di spionaggio”.
Sono d’aiuto gli antivirus tradizionali?
Si: le suite antivirus classiche di Kaspersky, Symantec e naturalmente anche G Data Internet Security sono in grado di riconoscere, in “Trojan.Win32.Regin.gen” o “Rootkit.Win32.Regin”, almeno alcuni segmenti di Regin. Sarà bene però non sentirsi troppo sicuri, dato che possono senz’altro esistere altre funzioni e varianti di questo malware.
Ai fini della sicurezza, i servizi segreti stanno già lavorando a nuovi supervirus, in grado di mimetizzarsi ancora meglio.