Alfonso Maruccia

Il malware Regin è opera di USA e UK?

Il super-malware appena svelato sarebbe opera delle intelligence statunitense e britannica. Con esso si sarebbero già infiltrati nelle reti di telecomunicazione europee, GSM compreso

Roma - Symantec ha svelato al mondo l'esistenza di Regin, il super-malware modulare usato per campagne di spionaggio altamente mirate in circolazione dal 2008, come indicato dalle analisi di F-Secure e Kaspersky, e ora le altre società di sicurezza arricchiscono il piatto rivelando nuovi particolari sull'operazione e gli autori del codice malevolo.

Stando a quanto sostiene The Intercept, per individuare gli autori di Regin non occorrerebbe andare molto lontano dai soliti nomi già immortalati dallo scandalo Datagate: il super-malware sarebbe opera delle intelligence di Stati Uniti (NSA) e Regno Unito (GCHQ), e tra i suoi obiettivi primari ci sarebbero le istituzioni europee, quelle stesse istituzioni di cui il Regno Unito fa parte, almeno sino a prova contraria.

Emerge, nella faccenda Regin, il nome di un provider già noto nel succitato Datagate: con Regin gli agenti segreti avrebbero infiltrato (compromesso) la società di telecomunicazioni belga Belgacom, già fornitrice dei servizi di connettività alle autorità dell'Unione Europea.
Infetti da Regin sono risultati anche i computer (Windows) di Jean Jacques Quisquater, ben noto criptografo (anche lui belga), e tra le capacità del malware c'è anche quella di sottomettere i "controller" delle torri di trasmissione GSM ottenendo l'accesso completo alle comunicazioni cellulari delle persone prese di mira.


Alfonso Maruccia

Aggiornato il 1 dicembre 2014 - Nella stesura originaria l'articolo attribuiva a Kaspersky le speculazioni sulla paternità del malware Regin. L'articolo è stato modificato per attribuire correttamente le dichiarazioni in tal senso. Ci scusiamo con i lettori e con gli interessati per questo errore.
Notizie collegate
  • SicurezzaRegin, il super-malware per lo spionaggioSymantec svela l'esistenza di un trojan estremamente complesso, con un meccanismo di funzionamento multi-stadio ed evidentemente pensato per campagne di infezione mirate. Chi l'ha scritto? E chi l'ha commissionato?
56 Commenti alla Notizia Il malware Regin è opera di USA e UK?
Ordina
  • Regin non è una sorpresa per gli esperti del settore: ad esempio è stato citato durante la conferenza hack.lu 2014, tenutasi nel mese di ottobre 2014 ma l'APT era stato già individuato mesi prima sul PC del crittografo Jean Jacques Quisquater e i relativi samples - inviati a Kaspersky nel febbraio del 2014 - hanno confermato l'infezione. L'analisi del codice di Regin indica che la prima versione del malware risale al 2003. Quindi, pur essendo la minaccia conosciuta dagli addetti al settore da svariati mesi, ma forse IMHO da molto più tempo, ne è stata data comunicazione pubblica solo a fine novembre 2014 e ciò forse è dovuto alla complessità del codice da analizzare, di cui non erano stati valutati appieno i possibili scenari d'uso ed i meccanismi di propagazione. É stata proprio questa costante evoluzione a rendere difficile l'analisi dei ricercatori: negli anni, infatti, il malware è stato aggiornato, ampliandone le funzionalità, grazie anche alla struttura modulare che lo contraddistingue...ad esempio la prima versione non era compatibile con i 64 bit ed aveva un numero ridotto di livelli modulari rispetto all'ultima ed attuale (che ne ha cinque). A peggiorare le chance di analisi della minaccia ha contribuito l'esigua percentuale di macchine colpite e la possibilità per Regin non solo di aggiornarsi ma anche auto-disinstallarsi tramite una serie di istruzioni lanciate da remoto; a questo proposito si è potuto scoprire un certo numero di macchine infette (anzi ex-infette) grazie ad alcuni file residui quindi non correttamente eliminati durante la fase di rimozione dal sistema colpito. Regin è inoltre in grado di convivere felicemente con altri APT quali Animal Farm, Careto, Itaduke, Turla: questa è la riprova, semmai ve ne fosse bisogno, che è stato progettato e creato da persone altamente competenti in materia.
  • Non facevi prima a mettere il link dell'articolo che precisava tutto ciò?
    non ricordo dove, ma le stesse parole le ho lette su un sito un paio di giorni addietro.
    Giusto per precisare.
    non+autenticato
  • Mi correggo,
    la storia delle tracce residuali era (si ipotizza) a causa di macchine scollegate dalla rete prima che ricevessero il comando di eliminazione.
    Quindi non per colpa di regin ma per puro c**o...
    non+autenticato
  • - Scritto da: Il reverendo
    > Non facevi prima a mettere il link dell'articolo
    > che precisava tutto ciò?
    > non ricordo dove, ma le stesse parole le ho lette
    > su un sito un paio di giorni
    > addietro.

    > Giusto per precisare.

    Riguardo le mie fonti...chiedo scusa...oggi sono proprio sbadato!
    Ecco qui:
    https://en.wikipedia.org/wiki/World_Wide_Web

    ...ma più nello specifico:


    Trojan:WinNT/Regin.A
    Alert level: Severe
    First detected on: Mar 09, 2011


    https://www.microsoft.com/security/portal/threat/e...


    Trojan:WinNT/Regin.B
    Alert level: Severe
    First detected on: Mar 10, 2011



    https://www.microsoft.com/security/portal/threat/e...


    Trojan:WinNT/Regin.gen!C
    Alert level: Severe
    First detected on: Sep 14, 2013


    https://www.microsoft.com/security/portal/threat/e...

    Insomma: sono diversi giorni che la stampa mondiale si sta sovra-eccitando con questa super-minaccia governativa che è talmente vecchia da finire archiviata nell'enciclopedia dei malware della Microsoft! Rotola dal ridere

    Giusto per ri-precisare. Occhiolino
  • - Scritto da: vrioexo
    > - Scritto da: Il reverendo
    > > Non facevi prima a mettere il link dell'articolo
    > > che precisava tutto ciò?
    > > non ricordo dove, ma le stesse parole le ho
    > lette
    > > su un sito un paio di giorni
    > > addietro.
    >
    > > Giusto per precisare.
    >
    > Riguardo le mie fonti...chiedo scusa...oggi sono
    > proprio
    > sbadato!
    non e' che siano proprio "tue"... sono nei report di karspesky e symantechSorride i report sono utili perche' fanno dissection, analisi dello storico e del codice. Visto che sono "prodotti" che si sono evoluti.. e che un sample da solo vuol dire poco... per capire SE c'e' un 'disegno' dietro e creare una 'mappa' ci vuole tempo... cose che in effetti il mero inserimento di una signature nel db M$ non da'....
    non+autenticato
  • - Scritto da: bubba
    > non e' che siano proprio "tue"... sono nei report
    > di karspesky e symantechSorride

    Ancora con questa storia del mie-tue-loro? Cerchiamo di chiarire visto che non posso certo passare i prossimi due giorni a reggere questa pseudo-trollata multi-nick non particolarmente riuscita: le considerazioni sono proprio le mie. Grossomodo nei primi mesi del 2009 ho avuto modo di analizzare nel dettaglio il sample della prima versione di Regin (non quella che usa la Symantec che in realtà non è la prima versione conosciuta ma è una variante del 2011; all'epoca mi colpì poiché nessun antivirus riusciva ad individuarlo, neppure come malware generico e, come tale, fu da me etichettato ed archiviato (però si trattava di uno 0-day, quindi ancora non pervenuto alle varie Compagnie AV): in compenso era possibile individuarlo e bloccarlo in altri modi...ma questo vale per tutti i malware, tranne forse i più recenti kernel-malware su Ring-1, che però operano correttamente solo su piattaforme hardware di ultima generazione.

    Per tornare al Report che non hai letto (l'alternativa sarebbe che lo hai letto senza comprenderlo e questa ipotesi non la formulo poiché mi sembrerebbe offensiva nei tuoi confronti) consolati sapendo di essere in buona compagnia, assieme a tutti quelli che insistono nel definire Regin un malware nuovo di zecca. Qui l'unica cosa veramente nuova è la data del report del PDF...

    Dal Symantec Security Response - November 24, 2014

    Timeline

    [...] Version 1.0 appears to have been abruptly withdrawn from circulation in 2011. Version 1.0 samples found after this date. This report is based primarily on our analysis of Regin version 1.0.[...]

    Ricapitolando:

    R E G I N - anno 2008-2011 e varianti

    Sì, sì...una novità assoluta...fresca fresca, quasi di giornata (anno più anno meno): uno 0-day preistorico pericoloso quasi quanto il segreto di pulcinella...
  • Gradirei chiarire che le eccezioni non sono una trollata multinick.
    Io sono io, l'altro è l'altro, scrivo poco e solo se ho qualcosa da dire e il tuo intervento così come era posto mi appariva un pò "rubagloria"
    Ho scritto, tu hai risposto con link vari e per me era una risposta soddisfacente alla quale non serviva ulteriore replica.

    Quindi evita di accollarti gomplotti trollosi considerando che qui quando partono trollate o flame durano minimo 100 post.

    Saluti.
    non+autenticato
  • - Scritto da: Il reverendo
    > Gradirei chiarire che le eccezioni non sono una
    > trollata multinick.
    > Io sono io, l'altro è l'altro, scrivo poco e solo
    > se ho qualcosa da dire e il tuo intervento così
    > come era posto mi appariva un pò "rubagloria"
    > Ho scritto, tu hai risposto con link vari e per
    > me era una risposta soddisfacente alla quale non
    > serviva ulteriore replica.
    >
    > Quindi evita di accollarti gomplotti trollosi
    > considerando che qui quando partono trollate o
    > flame durano minimo 100 post.
    >
    > Saluti.

    Non volevo essere polemico né sgarbato ma concorderai con me che il tono dei due interventi concatenati era abbastanza simile e provenendo da due utenti non registrati...chiarito questo, però non mi far dire cose che non ho mai detto: non ho parlato di gomblotto ma solo di trollata multi-nick che può durare 2 post come 100 (non è che su PI c'è un minimo sindacale garantito tipo le 'quote troll' al posto delle 'quote rosa'...).

    Per tornare a Regin attualmente esiste una sola variante conosciuta che non è identificata mentre altre 2-3 passano allegramente le maglie protettive di molti AV avendo un basso reteo di identificazione: questo però non esclude che vi possano essere varianti non ancora scoperte...e ciò la dice lunga sull'effettiva utilità dei software antivirus...
    -----------------------------------------------------------
    Modificato dall' autore il 28 novembre 2014 22.43
    -----------------------------------------------------------
  • ok, nessun problema.
    non+autenticato
  • Come del resto avevo previsto nell' articolo precedente, c' era da aspettarselo dopo gli stessi casi di cimici dell' NSA trovate negli uffici dei governi italiano e tedesco.
  • - Scritto da: Il Punto
    > Come del resto avevo previsto nell' articolo
    > precedente, c' era da aspettarselo dopo gli
    > stessi casi di cimici dell' NSA trovate negli
    > uffici dei governi italiano e
    > tedesco.

    E i francesi e gli spagnoli?
    maxsix
    9440
  • ->Scritto da: maxsix
    >E i francesi e gli spagnoli?

    Sapevo che almeno loro erano immuni da tutto ciò Sorpresa.
  • - Scritto da: Il Punto
    > ->Scritto da: maxsix
    > >E i francesi e gli spagnoli?
    >
    > Sapevo che almeno loro erano immuni da tutto ciò
    >Sorpresa.

    Eh l'ironia non è una cosa da tutti.
    maxsix
    9440
  • Anche l' articolo sembra che non li riporti come Paesi colpiti.
    -----------------------------------------------------------
    Modificato dall' autore il 27 novembre 2014 09.32
    -----------------------------------------------------------
    -----------------------------------------------------------
    Modificato dall' autore il 27 novembre 2014 09.33
    -----------------------------------------------------------
  • Tutto questo ci insegna che bisogna diffidare di un provider di telefonia GSM che utilizza il colapasta come sistema operativo per le torri GSM.

    Quando andrete a rinnovare il contratto telefonico del vostro cellulare chiedete sempre: "Ma $provider_di_telefonia_mobile che sistema operativo usa per gestire le torri GSM?"

    E se viene risposto "Il colapasta", dite: "Allora no, grazie, faccio il contratto con un altro."
  • - Scritto da: panda rossa
    > Tutto questo ci insegna che bisogna diffidare di
    > un provider di telefonia GSM che utilizza il
    > colapasta come sistema operativo per le torri
    > GSM.
    >
    > Quando andrete a rinnovare il contratto
    > telefonico del vostro cellulare chiedete sempre:
    > "Ma $provider_di_telefonia_mobile che sistema
    > operativo usa per gestire le torri
    > GSM?"
    >
    > E se viene risposto "Il colapasta", dite: "Allora
    > no, grazie, faccio il contratto con un
    > altro."

    Ma magari queste informazioni fossero pubbliche e conoscute !

    Io non riesco neanche a farmi dire da quelli di fastweb quali porte posso forwardare e soprattutto quali non posso !


    No, guarda, questa cosa insegna una cosa sola: basta parlare al leguleo.
    non+autenticato
  • - Scritto da: panda rossa

    > Quando andrete a rinnovare il contratto
    > telefonico del vostro cellulare chiedete sempre:
    > "Ma $provider_di_telefonia_mobile che sistema
    > operativo usa per gestire le torri
    > GSM?"

    si si certo, e magari interroghi ad uno ad uno tutti i dipendenti per assicurarti che siano preparati e non divengano il famoso problema tra la sedia e il monitor.
    non+autenticato
  • Attenzione, non è andata così

    "The attackers were able to steal credentials from a internal GSM Base Station Controller belonging to a large telecom operator that gave them access to GSM cells in that particular network"

    Al solito i computer windows violati contenevano ovviamente credenziali d'accesso a sistemi ben più protetti. Avendo le credenziali hanno guadagnato l'accesso pure i controller delle base stations.

    Nessun ingegnere sano di mente di sognerebbe mai di usare windows per gestire simili apparati.
    non+autenticato
  • - Scritto da: collione

    > Al solito i computer windows violati contenevano
    > ovviamente credenziali d'accesso a sistemi ben
    > più protetti. Avendo le credenziali hanno
    > guadagnato l'accesso pure i controller delle base
    > stations.


    CVD
    non+autenticato
  • Senza contare che su tutti, ma proprio tutti gli apparati di rete e ponti radio si va da vxworks a GNU/Linux. Gli unici windows che ho visto erano sugli strumenti di misura
    non+autenticato
  • - Scritto da: panda rossa
    > Tutto questo ci insegna che bisogna diffidare di
    > un provider di telefonia GSM che utilizza il
    > colapasta come sistema operativo per le torri
    > GSM.
    >
    > Quando andrete a rinnovare il contratto
    > telefonico del vostro cellulare chiedete sempre:
    > "Ma $provider_di_telefonia_mobile che sistema
    > operativo usa per gestire le torri
    > GSM?"
    >
    > E se viene risposto "Il colapasta", dite: "Allora
    > no, grazie, faccio il contratto con un
    > altro."
    E se vi viene risposto questo:
    http://en.wikipedia.org/wiki/Red_Flag_Linux
    scappate ancora più velocementeA bocca aperta
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: panda rossa

    > E se vi viene risposto questo:
    > http://en.wikipedia.org/wiki/Red_Flag_Linux
    > scappate ancora più velocementeA bocca aperta

    Questa mica l'ho capita...
    non+autenticato
  • - Scritto da: Passante

    > Questa mica l'ho capita...

    tutti gli interventi dell'utente '2014' sono atti a cambiare discorso o a fare battutine che capisce solo lui.
    Ignorarlo è cosa buona e giusta.
    non+autenticato
  • - Scritto da: Ovvio
    > - Scritto da: Passante
    >
    > > Questa mica l'ho capita...
    >
    > tutti gli interventi dell'utente '2014' sono atti
    > a cambiare discorso o a fare battutine che
    > capisce solo
    > lui.
    Non è colpa mia se non capisci i riferimenti alle distro Linux cinesi usate da apparecchiature telefoniche cinesi, che trovi installate in itaGlia
    non+autenticato
  • - Scritto da: 2014

    > che trovi installate in
    > itaGlia


    "CTRL+F italy" --> no results
    non+autenticato