Alfonso Maruccia

Regin, il super-malware per lo spionaggio

Symantec svela l'esistenza di un trojan estremamente complesso, con un meccanismo di funzionamento multi-stadio ed evidentemente pensato per campagne di infezione mirate. Chi l'ha scritto? E chi l'ha commissionato?

Roma - L'ultima super-minaccia per gli utenti di Internet si chiama Regin, anche se con tutta probabilità non riguarda che una parte infinitesimale di chi ha accesso alla rete mondiale. Ma le vittime sono del tipo che conta tra istituzioni governative, pezzi da novanta, ricercatori e aziende.

Regin è un trojan con funzionalità da backdoor, spiega Symantec, inizialmente attivo fra il 2008 e il 2011 e poi ritornato alla carica, con una nuova versione, nel dicembre del 2013. Per complessità e pericolosità, il malware si posiziona nella stessa categoria di "cyber-armamenti" ben noti come Stuxnet, Flame e Duqu.

Il codice di Regin è suddiviso in cinque stadi diversi, tutti cifrati tranne il primo così da rendere difficile l'opera di analisi da parte dei ricercatori di sicurezza: per capire il funzionamento del malware occorre ottenere tutti e cinque le sue fasi operative.
Symantec stima in mesi o anni il lavoro necessario a sviluppare una minaccia complessa come Regin, un "framework" che contiene centinaia di payload variamente indirizzati a rubare password, catturare screenshot, intercettare le comunicazioni di rete, "infettare" il mouse collegato al computer, ripristinare i file cancellati dal sistema e altro ancora. Eppure, nonostante la complessità del codice, Symantec ha individuato appena un centinaio di infezioni riconducibili al malware: tra le macchine infette risultano presenti alcuni provider Internet e fornitori di connessioni "backbone" alla rete telematica, con Symantec che spiega tale circostanza con la necessità, per i "pupari" di Regin, di mettere sotto intercettazioni le comunicazioni di un particolare individuo che faceva uso delle infrastrutture infette.

I ricercatori ipotizzano infine che Regin, come i già citati "malware di stato", sia stato sviluppato (direttamente o tramite finanziamento) da una non meglio precisata nazione per condurre campagne di spionaggio personalizzate e a prova di antivirus. Gli stessi server o meccanismi di comando&controllo dell'operazione restano al momento un mistero, spiega ancora Symantec.

Alfonso Maruccia
Notizie collegate
  • AttualitàUSA, il generale di StuxnetUn nuovo nemico per gli States: sotto indagine il responsabile dell'operazione che portò alla creazione del famigerato malware anti-iraniano. Sarebbe colpevole di diffusione di informazioni segrete
29 Commenti alla Notizia Regin, il super-malware per lo spionaggio
Ordina
  • Alla fine a noi quello che ci interessa veramente e' sapere quali sono i sistemi affetti da questa porcheria.

    Bisogna seguire qualche link prima di arrivare alla risposta che sta scritta in questa pagina

    http://www.symantec.com/security_response/writeup....

    E chi lo avrebbe mai detto che il sistema operativo colpito e' il famoso COLAPASTA in tutte le sue versioni.
  • Perche' Windows e' il sistema piu' diffuso al mondo col 90% delle installazioni.

    Linux sui pc tradizionali non fa statistica. Per questo non esistono virus software. E nemmeno software valido come su Windows.
    non+autenticato
  • - Scritto da: Winner
    > Perche' Windows e' il sistema piu' diffuso al
    > mondo col 90% delle
    > installazioni.
    >
    > Linux sui pc tradizionali non fa statistica. Per
    > questo non esistono virus software. E nemmeno
    > software valido come su
    > Windows.

    ...e anche perchè il filesytem di un *nix non è così vulnerabile
    non+autenticato
  • - Scritto da: Winner
    > Perche' Windows e' il sistema piu' diffuso     bacato al
    > mondo col 90% delle
    > installazioni     patch .

    Fixed.

    >
    > Linux sui pc tradizionali non fa statistica.

    Non ne ha bisogno.
    La mission di Linux e' quella di fornire tecnologia libera, non statistica.

    > Per questo non esistono virus software.

    In realta' esistono, ma non hanno speranza.

    > E nemmeno
    > software valido come su
    > Windows.

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
  • - Scritto da: panda rossa
    > - Scritto da: Winner
    > > Perche' Windows e' il sistema piu'
    > diffuso     bacato
    >

    > al
    > > mondo col 90% delle
    > > installazioni
    > patch
    > .
    >
    > Fixed.
    >
    Hai già ricompilato il kernel oggi?A bocca aperta
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: panda rossa
    > > - Scritto da: Winner
    > > > Perche' Windows e' il sistema piu'
    > > diffuso     bacato
    > >

    > > al
    > > > mondo col 90% delle
    > > > installazioni
    > > patch
    > > .
    > >
    > > Fixed.
    > >
    > Hai già ricompilato il kernel oggi?A bocca aperta

    Make

    Ecco, sta... Contento ?
    non+autenticato
  • - Scritto da: 2014

    > Hai già ricompilato il kernel oggi?A bocca aperta

    credo non lo abbia mai fatto, ma comunque ha la possibilità di farlo

    è meglio avere l'imbarazzo della scelta piuttosto che non averne nessuna
    non+autenticato
  • Quindi voi linuxiani vivete tranquilli usando binari compilati da chissa' chi e che non si sa cosa ci sia dentro, ma sapete che se vorreste potreste compilarveli voi i sorgenti... Bella filosofia.

    A me non frega niente di guerre tra Mac OS, Windows, Linux... uso quello che mi da il pane e fino ad oggi Windows mi ha permesso di guadagnarmi il pane.
    Sara' un colapasta, ma come hanno scritto sopra, e' normale che sia il S.O. piu' bersagliato, dato che e' quello piu' diffuso.
    Se io dovessi scrivere un malware, certamente non perderei tempo a cercare exploit su linux o su mac os, dato che il rientro economico sarebbe molto minore. Questo e' l'unico vero motivo per cui mac os e linux SEMBRANO piu' sicuri di Windows.

    Poi, professionalmente parlando, Microsoft ha l'unico vero ecosistema che fornisce tutti gli strumenti per gli sviluppatori per poter lavorare con tutti i prodotti made in redmond (e anche non) e interfacciarli tra di loro.

    Apple ha l'ecosistema fuffa e windows è una piccola serra.
    non+autenticato
  • - Scritto da: ...
    > Quindi voi linuxiani vivete tranquilli usando
    > binari compilati da chissa' chi e che non si sa
    > cosa ci sia dentro, ma sapete che se vorreste
    > potreste compilarveli voi i sorgenti... Bella
    > filosofia.

    Perche' pensi che i linuxiani siano cloni monopensiero ?
    Qualcuno lo compila altri no, noi che si può utilizziamo le possibilità che abbiamo quando ci sono utili.

    > A me non frega niente di guerre tra Mac OS,
    > Windows, Linux... uso quello che mi da il
    > pane e fino ad oggi Windows mi ha permesso
    > di guadagnarmi il pane.

    Beh, anche io, appunto per lavoro. A casa ormai solo linux che mi trovo meglio, fa quello che mi serve più rapidamente e comodamente di quanto potessi fare con windows.

    > Sara' un colapasta, ma come hanno scritto sopra,
    > e' normale che sia il S.O. piu' bersagliato, dato
    > che e' quello piu' diffuso.

    E anche il più scomodo da usare, ma si sa la massa va in 500 mica in ferrari.

    > Se io dovessi scrivere un malware, certamente non
    > perderei tempo a cercare exploit su linux o su
    > mac os, dato che il rientro economico sarebbe
    > molto minore. Questo e' l'unico vero motivo per
    > cui mac os e linux SEMBRANO piu' sicuri di
    > Windows.

    Bravo, buon per noi che non usiamo linux.

    > Poi, professionalmente parlando, Microsoft ha
    > l'unico vero ecosistema che fornisce tutti gli
    > strumenti per gli sviluppatori per poter lavorare
    > con tutti i prodotti made in redmond (e anche
    > non) e interfacciarli tra di loro.
    > Apple ha l'ecosistema fuffa e windows è una
    > piccola serra.

    Spiace per chi deve lavorare con quelle cose, per fortuna io no.
    non+autenticato
  • Come sempre, i talebani non mancano mai sull'argomento.

    Purtroppo l'unico computere sicuro è un computer SPENTO.
    Per il resto ognuno usa i sistemi che preferisce (gusti personali, esigenze di lavoro, giochi / applicazioni disponibili...).

    Di sicuro essendo Win il sistema + diffuso al mondo, concordo con il fatto che dovessi scegliere non perderei tempo a scrivere malware su linux ma massimizzerei i miei sforzi (vecchio link: http://www.geekissimo.com/2014/01/02/statistiche-b.../).

    Cheers
    non+autenticato
  • - Scritto da: Winner
    > Perche' Windows e' il sistema piu' diffuso al
    > mondo col 90% delle
    > installazioni.
    >
    > Linux sui pc tradizionali non fa statistica. Per
    > questo non esistono virus software. E nemmeno
    > software valido come su
    > Windows.

    si tutto giusto, ma in un mondo dove lo smartphone domina, secondo te non avrebbe senso spiare più gli smartphone che i pc?

    e non parliamo dei server su cui transitano le comunicazioni digitali

    semplicemente si sceglie il bersaglio più facile e meno costoso da bucare
    non+autenticato
  • "E chi l'ha commissionato?"

    Si installa con un "setup.exe" ? A bocca aperta
    non+autenticato
  • - Scritto da: prova123
    > "E chi l'ha commissionato?"
    >
    > Si installa con un "setup.exe" ? A bocca aperta

    No, direi che e' gia' preinstallato nel sistema operativo.
  • Il progetto é modulare, quindi puoi incaricare divisioni diverse per sviluppare le varie funzionalitá in modo separato. Puoi addirittura sfruttare un git open source dedicato ad una determinata funzione. Qui c'é da ammirare lo schema, non le funzionalitá.
    Non ci vuole uno Stato o immani risorse, ma una buona mente coordinatrice e tanti programmatori ignari.
    non+autenticato
  • - Scritto da: Reg.in
    > Non ci vuole uno Stato o immani risorse, ma una
    > buona mente coordinatrice e tanti programmatori
    > ignari.

    ...ma soprattutto ci vuole un vasto parco-utonti di alto livello - ignari delle più elementari norme di sicurezza, anche in ambito aziendale/istituzionale - al quale poter attingere liberamente e con soddisfazione...Occhiolino
  • hai letto dove sono state trovate le infezioni?
    E intanto che ci sei, ci erudisci su che sistemi infallibili utilizzi tu per evitare 0-day? zonealarm+antivir?A bocca aperta
    non+autenticato