Regin, il Virus che spia dal 2008

Una buona parte di un nuovo malware è stata scoperta, che si dice di essere in uso fin dal 2008 per spiare i governi, le imprese e gli individui, Symantec ha detto in un rapporto pubblicato Domenica. Lo strumento di cyberspionaggio si chiama Regin e utilizza diverse funzionalità per evitare di essere rilevato, cosa che ha richiesto un investimento significativo di tempo e risorse, suggerendo che è il prodotto di uno Stato, e non di ‘semplici hacker’, ha fatto sapere il produttore di software antivirus, senza suggerire quale paese può esserci dietro lo sviluppo del malware. Il design del malware lo rende particolarmente adatto per la sorveglianza di massa a lungo termine, ha detto la società Symantec.

"Gli sviluppatori di Regin hanno dedicato un notevole sforzo per nasconderlo (…) può potenzialmente essere utilizzato nelle campagne di spionaggio della durata di diversi anni", ha detto la società in un comunicato. "Anche quando viene rilevata la sua presenza, è molto difficile stabilire quale cosa sta facendo."

La natura altamente personalizzabile di Regin consente una vasta gamma di funzionalità di accesso remoto, tra cui il furto di password e di altri dati, il dirottamento del click del mouse e la cattura di screenshot dei computer infetti. Altro che può fare Regin è il monitoraggio del traffico di rete e l’analisi di e-mail da ldatabase di Exchange.

Alcuni degli obiettivi principali di Regin comprendono fornitori di servizi Internet e le società di telecomunicazioni: è in questi campi che il complesso software viene utilizzato per monitorare le chiamate e le comunicazioni, che può anche essere poi deviato attraverso le infrastrutture delle imprese. Altri obiettivi sono le aziende dei settori aerei, energia, ospitalità e di ricerca, Symantec ha detto.

Gli obiettivi del malware sono "geograficamente diversificati", Symantec ha detto, osservando che più della metà delle infezioni sono state registrate in Russia e Arabia Saudita. Tra gli altri paesi più ‘infetti’ ci sono sono l’Irlanda, Messico e India.

Regin si compone di cinque fasi di attacco che sono nascoste e criptate, con l’eccezione della prima fase, che dà inizio ad un ‘domino’ attraverso cui ogni fase successiva si attiva. Ogni fase contiene poche informazioni sulla struttura di malware. Tutte le cinque fasi devono essere acquisite per analizzare e scoprire la minaccia rappresentata dal malware.

Symantec ha detto che l’architettura multi-stage di cui si compone Regin ricorda Stuxnet, un virus informatico sofisticato scoperto quando ha tentato di attaccare un impianto nucleare in Iran nel 2010, e Duqu, che ha il codice identico a Stuxnet, ma che è stato progettato per lo spionaggio informatico invece che del sabotaggio.

Symantec ha detto che ritiene che molti componenti di Regin rimangono da scoprire.

Lo cyberspionaggio rimane un argomento delicato, che nasce spesso dalle difficili relazioni diplomatiche tra i paesi. Gli Stati Uniti e la Cina si accusano da anni che l’una spia l’altra. Gli Stati Uniti hanno accusato il governo cinese e militari di impegnarsi in diffusi attacchi di cyberspionaggio mirati alle reti governative degli Stati Uniti e ai computer aziendali. La Cina ha negato le accuse e ha accusato gli Stati Uniti di un comportamento simile verso la propria infrastruttura.