“Non abbiamo mai visto nulla di simile” conferma Orla Cox, direttrice del Security Response di Symantec. “È molto probabile che si tratti di uno strumento utilizzato da un’agenzia di intelligence occidentale”
Un supervirus in grado di spiare chiunque, diffuso in tutto il mondo e sotto il controllo di servizi segreti che lo utilizzano per raccogliere informazioni su larga scala. A lanciare l’allarme è Symantec, che oggi ha pubblicato un report dettagliato sulla scoperta di uno strumento di spionaggio informatico battezzato “Regin”. Si tratta di un virus (ma il termine più corretto è “trojan”) isolato dai laboratori Symantec nel 2013. La sua analisi, ancora in corso, ha già richiesto più di un anno di lavoro. Al momento, però, è impossibile dire quanto la rete di spionaggio sia estesa.
Regin infatti è stato individuato in meno di cento computer in una decina di paesi: Pakistan, Afghanistan, Iran, Arabia Saudita, Russia, India, Irlanda, Messico, Austria e Belgio. Il basso numero di esemplari, però, non deve far pensare a un fenomeno marginale. La versione individuata da Symantec risale al 2008 e, come spiega il rapporto, la sua scoperta è dovuta al caso. Questa versione del virus, infatti, è stata “ritirata” nel 2011 e, almeno in teoria, ogni sua traccia avrebbe dovuto essere cancellata dalle macchine infette. Qualche cosa, però, è andato storto. La presenza del trojan sui PC analizzati è dovuta a una rimozione incompleta o al fatto che le macchine in questione fossero nel frattempo diventate inaccessibili agli ignoti pirati informatici, magari perché scollegate da Internet. Proprio partendo da questi indizi gli analisti hanno cominciato a ricomporre il puzzle che ha portato alla scoperta di Regin.
Il sospetto è che il trojan sia ancora attivo, utilizzando una nuova versione che avrebbe sostituito quella individuata da Symantec. A confermare l’ipotesi c’è la scoperta di alcuni componenti simili a quelli analizzati, che utilizzano però un’architettura a 64 bit per adattarsi ai nuovi sistemi operativi. Insomma: quella appena scoperta potrebbe essere solo la punta dell’iceberg.
L’ombra dei servizi segreti
Sull’identità di chi ha creato il trojan non si sa ancora nulla, ma gli esperti che lo hanno analizzato hanno pochi dubbi sul “profilo” degli autori. La sua struttura, infatti, ricorda molto da vicino quella di Stuxnet, il virus realizzato dai servizi segreti statunitensi in collaborazione con Israele e utilizzato nell’ambito dell’operazione “Olympic Games” per sabotare uno stabilimento per l’arricchimento dell’uranio in Iran. A differenza di Stuxnet, però, Regin ha obiettivi più ampi. Si tratta infatti di uno strumento di spionaggio “a largo spettro” che è in grado di adattarsi a diverse esigenze e nascondere la sua presenza con incredibile efficacia.
Quello che è certo è che si tratta di un software estremamente complesso, la cui creazione ha richiesto enormi investimenti e mesi, se non addirittura anni, di lavoro. Le tecniche utilizzate per aggirare le protezioni mostrano un livello di competenza che lascia pochi dubbi sull’origine del virus.
“Non abbiamo mai visto nulla di simile” conferma Orla Cox, direttrice del Security Response di Symantec. “È molto probabile che si tratti di uno strumento utilizzato da un’agenzia di intelligence occidentale”. Anche il profilo dei bersagli individuati, d’altra parte, conferma l’ipotesi di un “virus di stato”. Poco meno del 50% delle vittime accertate, infatti, sono aziende che operano nel settore delle telecomunicazioni. Secondo quanto ricostruito dagli analisti di Symantec, in questi casi l’attacco avrebbe permesso agli autori di Regin di accedere alle loro infrastrutture e intercettare il traffico telefonico direttamente “alla fonte”.
Quasi invisibile
Sotto un profilo tecnico, Regin è un vero capolavoro. Il trojan ha una struttura a “scatole cinesi” composta da moduli che si attivano in sequenza. Ognuno di questi è crittografato per sfuggire al controllo degli antivirus e i più aggressivi operano a livello del Kernel, il “cuore” del sistema operativo. Come risultato, Regin è praticamente invisibile. Il software, inoltre, può essere aggiornato a distanza per aggiungere nuove funzioni o adattarlo a nuove esigenze. Gli esperti di sicurezza hanno classificato 20 moduli diversi utilizzati per spiare le vittime, ad esempio attraverso la cattura di schermate o la registrazione di tutto ciò che viene digitato sulla tastiera. Regin, però, è anche in grado di intercettare tutto il traffico Internet che transita sul computer infetto, rubare le password utilizzate, accedere a qualsiasi file memorizzato sul disco e addirittura recuperare i dati che sono stati precedentemente cancellati dall’hard disk. Pochi, invece, gli indizi sulle modalità di diffusione del trojan. Se in almeno un caso sembra avere sfruttato una vulnerabilità nel programma di messaggistica istantanea Yahoo! Messenger, l’ipotesi più accreditata è quella che vede gli 007 scegliere il metodo migliore caso per caso, confezionando un attacco su misura per i singoli bersagli.