Alfonso Maruccia

Germania, avvistato il trojan di stato?

Hacker tedeschi analizzano un malware complesso e concludono che si tratti di un trojan usato direttamente dalle autoritÓ. Le societÓ antivirali confermano l'esistenza del malware ma non la buttano in politica

Roma - Il famigerato "trojan di stato" teutonico, da anni spauracchio di tutti i difensori della privacy e dei diritti digitali, sarebbe stato finalmente individuato: il collettivo hacker noto come Chaos Computer Club (CCC) ha pubblicato un rapporto con tanto di file binari appartenenti al malware, accusando in maniera diretta il governo di pratiche spionistiche.

Il malware apre una backdoor per Windows, contiene una libreria dinamica (.dll) e un driver di livello kernel, con all'interno un ulteriore componente pensato per funzionare da keylogger e registrare le informazioni immesse sulla tastiera in applicazioni specifiche: Firefox, Skype, Windows Live Messenger, ICQ e altri.

Un'altra importante caratteristica del malware è la capacità di catturare screenshot e registrare audio - incluse le chiamate su Skype - un'abilità che risulta perfettamente in linea con la mitologia sin qui tramandata riguardo le capacità e le finalità del trojan di stato tedesco.
Ulteriori analisi sono state condotte dalla security enterprise finlandese F-Secure, i cui software antivirali riconoscono ora il malware come Backdoor:W32/R2D2.A. Il malware è persino in grado di auto-aggiornarsi e contiene naturalmente una funzionalità di "chiamata a causa" verso server esterni su indirizzo IP 83.236.140.90, 207.158.22.134 o altri ancora.

Che R2D2 sia opera delle autorità di Berlino non è che una affermazione di CCC, mentre F-Secure si limita ad attendere la prevedibile (e al momento latitante) risposta ufficiale del governo tedesco sulla faccenda. La software house nordeuropea tiene poi a precisare che i trojan spioni, "statali" o meno, verranno sempre inclusi nei suoi software antivirali in rispetto della policy aziendale in materia.

Alfonso Maruccia
Notizie collegate
135 Commenti alla Notizia Germania, avvistato il trojan di stato?
Ordina
  • Dopo aver letto il report ufficiale (in tedesco, non la pagina in inglese) dal sito di CCC, al contrario di quanto affermato sopra da alcuni, é abbastanza facile bloccare l'accesso tramite un firewall anche se si é infettati (come é facile capire se si é infettati).

    Non é dato a sapere se esiste una versione x64 funzionante. Quest'ultima richierebbe la firma delle librerie e quindi consentirebbe di risalire a chi le ha generate.

    Grande CCC. Solita approssimazione nei commenti di PI.
    Solita redazione, che si limita a darti l'imbocco.
    E pure solito io che non volevo piú postare qui.
    non+autenticato
  • non dispiacerebbe una traduzione, se conosci la linguaA bocca aperta
    Sgabbio
    26177
  • Um mio cliete ha un virus su alcuni PC(eccessivo uso di RAM, traffico in rete ingiustificato, ...)
    Nessun antiviru lo rileva.
    Posso pensare male?
    non+autenticato
  • - Scritto da: vac
    > Um mio cliete ha un virus su alcuni PC(eccessivo
    > uso di RAM, traffico in rete ingiustificato, ...)
    >
    > Nessun antiviru lo rileva.
    > Posso pensare male?

    rootkit
    non+autenticato
  • Dell'antivirus puoi pensare senza dubbio. A occhio gli antivirus beccano se va bene, bene, bene, bene, il 50/60% di quello che circola. Ci sono articoli interessanti che spiegano il perchè, e cioè che l'antivirus è morto per il fatto che sono molto legati alle signature, quindi con il codice polimorfico e le finestre virali resta un bel pò di roba che rimane fuori.

    L'approccio dovrebbe essere euristico e comportamentale e eventualmente le signature su quello che gira.

    Comunque non so come tu sia arrivato al fatto che ha un virus, ma nel caso di dubbi c'è poco da fare, salvare dati e rifare tutta la macchina da cima a capo.
    non+autenticato
  • - Scritto da: Terradeicac hi
    > Dell'antivirus puoi pensare senza dubbio. A
    > occhio gli antivirus beccano se va bene, bene,
    > bene, bene, il 50/60% di quello che circola. Ci
    > sono articoli interessanti che spiegano il
    > perchè, e cioè che l'antivirus è morto per il
    > fatto che sono molto legati alle signature,
    > quindi con il codice polimorfico e le finestre
    > virali resta un bel pò di roba che rimane
    > fuori.
    >
    > L'approccio dovrebbe essere euristico e
    > comportamentale e eventualmente le signature su
    > quello che
    > gira.
    >
    > Comunque non so come tu sia arrivato al fatto che
    > ha un virus, ma nel caso di dubbi c'è poco da
    > fare, salvare dati e rifare tutta la macchina da
    > cima a
    > capo.

    Ti spiace linkare gli articoli? Sarei interessato.
    non+autenticato
  • www.google.it
    non+autenticato
  • complimenti per l'educazione.
    Sgabbio
    26177
  • - Scritto da: Sgabbio
    > complimenti per l'educazione.
    gli stava insegnando a pescare...A bocca aperta
    non+autenticato
  • Mi dispiace non me lo ricordo, era un numero di Hakin9 rivista in inglese che contiene eccellenti articoli in tema di security.

    In sostanza il discorso era che si passava dall'antivirus all'HIPS (host intrusion detection system, di solito alcune organizzazioni usano semplicemente gli IPS, cioè sistemi che si interpongono nel traffico di rete). Ovvio che non ci sono soluzioni senza problemi, il problema di un HIPS è il tuning per non avere falsi positivi del cavolo.
    non+autenticato
  • Infatti molte soluzioni antivirus e fireware usano anche HIPS o sistemi simili.

    Il lato negativo però sono falsi positivi assurdi.
    Sgabbio
    26177
  • - Scritto da: Sgabbio
    > Infatti molte soluzioni antivirus e fireware
    > usano anche HIPS o sistemi
    > simili.
    >
    > Il lato negativo però sono falsi positivi assurdi.

    bisogna anche dire che dopo un buon periodo di addestramento e selezione manuale si arriva ad ottimi compromessi, certo non si arriverà mai al 100% ma è sempre meglio che affidarsi solamente ad un antivirus
    non+autenticato
  • Bhe gli antivirus hanno motori che funzionano anche in quel modo, tra feedback delle persone e impostazioni varie, affinano queste soluzione, per fortuna.

    Certo però se rivedessero certe politiche...
    Sgabbio
    26177
  • tutti a parlare di dittatura... al solito, due pesi, due...
    non+autenticato
  • - Scritto da: Trott
    > tutti a parlare di dittatura... al solito, due
    > pesi,
    > due...
    Perchè?
    Da noi i trojan sono sotto gli occhi di tutti...A bocca aperta
    non+autenticato
  • - Scritto da: malto
    > - Scritto da: Trott
    > > tutti a parlare di dittatura... al solito,
    > due
    > > pesi,
    > > due...
    > Perchè?
    > Da noi i trojan sono sotto gli occhi di tutti...
    >A bocca aperta

    Non sono trojani. I nostri sono trojoni.
    non+autenticato
  • - Scritto da: Megara
    > - Scritto da: malto
    > > - Scritto da: Trott
    > > > tutti a parlare di dittatura... al
    > solito,
    > > due
    > > > pesi,
    > > > due...
    > > Perchè?
    > > Da noi i trojan sono sotto gli occhi di
    > tutti...
    > >A bocca aperta
    >
    > Non sono trojani. I nostri sono trojoni.

    E alcuni fanno anche i ministri
    non+autenticato
  • ... un lecito strumento di intercettazione magari anche autorizzato da un magistrato?
    non+autenticato
  • - Scritto da: zaz zaz
    > ... un lecito strumento di intercettazione magari
    > anche autorizzato da un
    > magistrato?
    In quel caso
    è un magistrato POLLO!
    Si può fare di meglio e con molta più efficacia!
    non+autenticato
  • Qualche esempio, please?
    non+autenticato
  • I trojan di stato che abbiamo noi non ce li ha nessuno!!!
    non+autenticato
  • > I trojan di stato che abbiamo noi non ce li ha nessuno!!!

    Grande risposta! Mitico Sorride
    non+autenticato
  • - Scritto da: Terradeicac hi
    > I trojan di stato che abbiamo noi non ce li ha
    > nessuno!!!
    E li paghiamo pureTriste
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)