25/11/2014 di Redazione

Symantec scopre Regin: sei anni di spionaggio di Stato

La società statunitense ha svelato l’esistenza di Regin, un malware molto complesso che dal 2008 a oggi ha rubato dati di piccole e medie imprese, infrastrutture di telecomunicazione, utility, compagnie aeree. Non un semplice trojan, ma un mezzo di spiona

immagine.jpg

Complesso, longevo, bravissimo a nascondersi per più di sei anni: si chiama Regin ed è un malware molto complesso, per la precisione un trojan di tipo backdoor, scoperto dai ricercatori di Symantec e ora annunciato al mondo. A detta del vendor di sicurezza, la minaccia è rimasta in circolazione dal 2008 (o forse addirittura dal 2006) al 2011, per poi risorgere attraverso una nuova variante lo scorso anno. Da allora, avrebbe spiato dati riservati di piccole e medie imprese, infrastrutture di telecomunicazione, utility, compagnie aeree, nonché governi.

Il trojan sfrutta avanzati strumenti di spionaggio informatico appoggiandosi a funzionalità stealth, un insieme di accorgimenti volti a diminuire la propria evidenza all’osservazione “nemica”. Tutti gli stadi dell’attacco (vedi figura qui sotto), tranne il primo, vengono nascosti e crittografati. L’elevata complessità tecnica e strutturale di questo attacco fa pensare che Regin sia stato realizzato da professionisti e che venga utilizzato come strumento di sorveglianza di massa dalle agenzie di intelligence governative.

 


Del resto, il fatto che Cina e Stati Uniti non rientrino fra le regioni coinvolte dall’attacco lascia spazio a ulteriori interrogativi e sospetti.  La Russia, al contrario, secondo i monitoraggi di Symantec è il Paese maggiormente colpito, con il 28% degli attacchi, mentre l’Arabia Saudita segue a breve distanza con il 24%. In misura minore sono stati affetti obiettivi collocati in Messico, Irlanda, India, Afghanistan, Iran, Belgio, Austria, e Pakistan.

I bersagli preferiti sono utenti privati e piccole imprese ma tra i soggetti coinvolti troviamo anche aziende più grandi, enti pubblici, istituti di ricerca, infrastrutture di telecomunicazione, fornitori di energia, compagnie aeree. Il team di ricercatori Symantec ha spiegato che molte delle funzionalità di questa minaccia sono ancora sconosciute e non è chiaro neppure come il virus si sia diffuso. Il vendor ritiene inoltre che molti dei componenti di Regin non siano ancora stati scoperti e che potrebbero essere in circolazione alcune sue varianti.

Gli obiettivi più colpiti da Regin dal 2008 a oggi

 

Quel che è certo è che il trojan  non è stato il frutto di criminali improvvisati. “Regin è una minaccia altamente complessa”, spiega un blogpost di Symantec, “che è stata usata per ottenere dati in maniera sistematica o attraverso campagna di raccolta di intelligence. Lo sviluppo e il modo di agire di questo malware implica significativi investimenti in tempo e risorse, indicando uno Stato nazionale come responsabile”.

ARTICOLI CORRELATI