Un altro malware di alto profilo, altamente specializzato e sfruttato con un utilizzo molto mirato: i ricercatori dei Kaspersky Lab l’ hanno chiamato Rocra , e hanno identificato l’operazione che andrebbe avanti da un lustro come Ottobre Rosso (abbreviato, appunto, in Rocra ). Lo scopo dei criminali sarebbe quello di intrufolarsi nelle aziende e nelle istituzioni russe e dell’Asia Centrale, in particolar modo quelle di nazioni che utilizzano l’alfabeto cirillico, per carpire informazioni preziose, password, segreti politici e industriali da vendere al miglior offerente.
Stando alle informazioni diffuse da Kaspersky, invero piuttosto vaghe su chi siano le vittime designate di questa offensiva, Rocra sarebbe in circolazione da almeno cinque anni: distribuito tramite phishing, il trojan di base sfrutterebbe alcune vulnerabilità di Office per installarsi nel computer vittima e iniziare la sua opera indiscreta. Il meccanismo di funzionamento è piuttosto “tradizionale”: le informazni carpite dal computer vittima vengono raccolte da una rete che fa riferimento ad una infrastruttura di comando&controllo (C&C). In più il sistema è in grado di ampliare le funzioni del malware distribuendo patch che si installino nei computer infetti.
Alcune peculiarità di Ottobre Rosso : il nome è stato scelto perché molti indizi puntano a un’origine russa per gli ideatori dell’operazione (le macchine infettate vengono passate al codepage 1251, quello dell’alfabeto cirillico), le informazioni prelevate per spiare la vittima comprendono anche quelle reperibili su smartphone e altri device collegati al PC infetto, il codice è farcito di un gran numero di errori ortografici nelle parole inglesi utilizzate per variabili e commenti . Rocra agisce anche come worm, tentando di scovare altri terminali appartenenti alla stessa rete locale potenzialmente vulnerabili allo stesso tipo di attacco che ha permesso la prima infezione.
Stando alle informazioni di Kaspersky Lab, il progetto sarebbe in piedi da parecchi anni: il livello di sofistificazione sarebbe piuttosto alto, con tanto di modulo “resurrezione” in grado di ripristinare appieno la presenza del malware su una macchina colpita anche in presenza di una nuova patch che ne modifichi parzialmente la vulnerabilità. Nonostante questo livello di evoluzione, i ricercatori non si sbilanciano nell’indicare un possibile colpevole: indicano come russi gli autori della campagna, e concentrano la maggior parte delle infezioni (che si aggirano attorno alle 200 in totale) in Asia – al primo posto, con 35 casi, c’è la ex-Unione Sovietica – ma non ci sarebbe una o più nazioni dietro questa operazione. È più probabile che si tratti di semplici malviventi dediti alla vendita di informazioni segrete sul mercato nero , tra i cui clienti potrebbe anche annidarsi qualche stato ma che in questo caso non agirebbe direttamente per sottrarre informazioni altrui.
Luca Annunziata