L’ultima super-minaccia per gli utenti di Internet si chiama Regin, anche se con tutta probabilità non riguarda che una parte infinitesimale di chi ha accesso alla rete mondiale. Ma le vittime sono del tipo che conta tra istituzioni governative, pezzi da novanta, ricercatori e aziende.
Regin è un trojan con funzionalità da backdoor, spiega Symantec , inizialmente attivo fra il 2008 e il 2011 e poi ritornato alla carica, con una nuova versione, nel dicembre del 2013. Per complessità e pericolosità, il malware si posiziona nella stessa categoria di “cyber-armamenti” ben noti come Stuxnet, Flame e Duqu.
Il codice di Regin è suddiviso in cinque stadi diversi, tutti cifrati tranne il primo così da rendere difficile l’opera di analisi da parte dei ricercatori di sicurezza: per capire il funzionamento del malware occorre ottenere tutti e cinque le sue fasi operative.
Symantec stima in mesi o anni il lavoro necessario a sviluppare una minaccia complessa come Regin, un “framework” che contiene centinaia di payload variamente indirizzati a rubare password, catturare screenshot, intercettare le comunicazioni di rete, “infettare” il mouse collegato al computer, ripristinare i file cancellati dal sistema e altro ancora. Eppure, nonostante la complessità del codice, Symantec ha individuato appena un centinaio di infezioni riconducibili al malware: tra le macchine infette risultano presenti alcuni provider Internet e fornitori di connessioni “backbone” alla rete telematica, con Symantec che spiega tale circostanza con la necessità, per i “pupari” di Regin, di mettere sotto intercettazioni le comunicazioni di un particolare individuo che faceva uso delle infrastrutture infette.
I ricercatori ipotizzano infine che Regin, come i già citati “malware di stato”, sia stato sviluppato (direttamente o tramite finanziamento) da una non meglio precisata nazione per condurre campagne di spionaggio personalizzate e a prova di antivirus. Gli stessi server o meccanismi di comando&controllo dell’operazione restano al momento un mistero, spiega ancora Symantec.
Alfonso Maruccia