Il famigerato “trojan di stato” teutonico, da anni spauracchio di tutti i difensori della privacy e dei diritti digitali, sarebbe stato finalmente individuato: il collettivo hacker noto come Chaos Computer Club (CCC) ha pubblicato un rapporto con tanto di file binari appartenenti al malware, accusando in maniera diretta il governo di pratiche spionistiche.
Il malware apre una backdoor per Windows, contiene una libreria dinamica ( .dll ) e un driver di livello kernel, con all’interno un ulteriore componente pensato per funzionare da keylogger e registrare le informazioni immesse sulla tastiera in applicazioni specifiche: Firefox, Skype, Windows Live Messenger, ICQ e altri.
Un’altra importante caratteristica del malware è la capacità di catturare screenshot e registrare audio – incluse le chiamate su Skype – un’abilità che risulta perfettamente in linea con la mitologia sin qui tramandata riguardo le capacità e le finalità del trojan di stato tedesco.
Ulteriori analisi sono state condotte dalla security enterprise finlandese F-Secure, i cui software antivirali riconoscono ora il malware come Backdoor:W32/R2D2.A . Il malware è persino in grado di auto-aggiornarsi e contiene naturalmente una funzionalità di “chiamata a causa” verso server esterni su indirizzo IP 83.236.140.90, 207.158.22.134 o altri ancora.
Che R2D2 sia opera delle autorità di Berlino non è che una affermazione di CCC, mentre F-Secure si limita ad attendere la prevedibile (e al momento latitante) risposta ufficiale del governo tedesco sulla faccenda. La software house nordeuropea tiene poi a precisare che i trojan spioni, “statali” o meno, verranno sempre inclusi nei suoi software antivirali in rispetto della policy aziendale in materia.
Alfonso Maruccia