I malware commerciali di Hacking Team (HT) sono ancora in circolazione, con i ricercatori di sicurezza alle prese con un esemplare della piattaforma di attacco Remote Code Systems (RCS) progettato per attaccare il sistema OS X. Nulla di nuovo sotto il sole, dicono le analisi, mentre il ruolo concreto svolto da HT nella faccenda è ancora oggetto di dibattito.
La nuova variante di RCS è in realtà una vecchia versione del software per OS X, ed è stata scovata in seguito all’upload di un sample sulla piattaforma VirusTotal di Google: all’epoca (4 febbraio) nessun prodotto di sicurezza riconosceva il malware, quando la questione è diventata di pubblico dominio si è passati a 15 engine antivirali su 55 con la capacità di identificare RCS.
Il reverse engineering del codice è da qualche parte accompagnato da insulti contro gli “imbecilli italiani”, perché il software malevolo è esattamente lo stesso esposto al pubblico dopo la breccia nei server della società milanese. Recentemente HT aveva promesso un ritorno in grande stile , ma l’unica novità del malware consiste nell’aggiunta di una protezione crittografica basata sui meccanismi nativi di OS X e molto facile da bypassare.
Restano i dubbi sui meccanismi adottati dagli autori del sistema malevolo di tecnocontrollo per l’installazione su OS X, e su chi abbia orchestrato l’operazione: la nuova (vecchia) variante potrebbe essere riconducibile a uno dei clienti di HT, oppure potrebbe rappresentare l’azione di un “lupo solitario” (o di una gang di cyber-criminali esterna) che ha deciso di mettere a frutto il codice sorgente fuoriuscito dai server dell’azienda lo scorso luglio.
Alfonso Maruccia