Nel mondo della sicurezza informatica, i potenziali rischi ad aziende ed istituzioni, sotto forma di malware e toolkit sono numerosi e diffusi.
Gruppi di
esperti, spesso sponsorizzati da governi a fini di monitoraggio e
spionaggio combattono una guerra che di virtuale ha solo i mezzi con
i quali viene combattuta, ma dai risvolti più che tangibili, e di
ciò ne è stata data la prova durante l’attacco all’Iran
attraverso il malware Stuxnet (vedi articolo
http://www.difesaonline.it/evidenza/cyber/la-guerra-segreta-degli-hacker-equation-group-il-braccio-armato-cyber).
Sempre dai
creatori di Stuxnet, ossia dal gruppo di spionaggio informatico
collegato alla NSA ( National Security Agency), si suppone provenga uno dei
toolkit più complessi e potenti degli ultimi anni, il cosiddetto
Regin.
Regin è categorizzato come un RAT (Renote Access Trojan), fu scoperto
da varie compagnie di sicurezza informatica quali la Kaspersky labs e
Symantec nell’autunno del 2013 anche se era presente e attivo
ben da prima.
Il primo utilizzo di Regin è datato 2008 con la sua versione 1.0, attiva fino al 2011.
Il primo utilizzo di Regin è datato 2008 con la sua versione 1.0, attiva fino al 2011.
Nel 2013 ritorna
con una nuova versione 2.0 anche se si è speculato su possibili
versioni intermedie attive durante questi due anni di pausa.
Ciò che rende
speciale questo software è l’incredibile capacità di essere
adattato al bersaglio preso di mira, spesso Istituzioni e compagnie.
Regin ha colpito in larga percentuale Internet Service Providers e
Telco situate prevalentemente in Russia e Arabia Saudita, ma ha
arrecato problemi anche ad istituzioni e compagnie Europee.
Ma come fa Regin
ad essere così efficace, come viene usato per appropriarsi di
informazioni sensibili?
Regin presenta
varie funzionalità, principalmente utilizzato per monitorare e
rubare informazioni quali passwords e qualunque tipo di file,
scattare screenshot, prendere il controllo di funzionalità di mouse
e tastiera, monitorare il traffico di dati in una rete ecc.
L’architettura
del software è complessa e modulare, divisa in 6 stadi. Di seguito per chi vuole approfondire ecco il link al
documento Symantec che spiega in dettaglio l’architettura del
framework con riferimenti alla tipologia di encrypting e i protocolli
usati: https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/regin-top-tier-espionage-tool-15-en.pdf .
I vettori di
infezione di Regin non sono chiari proprio a causa della sua
possibilità di essere adattato a bersagli diversi in situazioni
diverse. In un caso il vettore di infezione è stata l’applicazione
Yahoo!instant messenger, in altri casi usb infette.
L’attività di
Regin non si ferma ai soli anni 2008-2011 e 2013-2014 ma va avanti
fino ai giorni nostri, con un ultimo grande attacco perpetrato
ai danni del gigante Russo Yandex a fine 2018.
Tuttora non si
possiedono tutte le informazioni necessarie per combattere e
identificare Regin, che riesce a rimanere inosservato per mesi in una
rete prima di essere scoperto.
Questo ci fa
capire la complessità del software e l’importanza che ricopre
nell’ambiente dello spionaggio informatico, un ambiente che al
giorno d’oggi più che mai è teatro di guerre che hanno il potere
di influenzare compagnie, istituzioni ed intere nazioni.
Francesco Rugolohttps://www.symantec.com/it/it/outbreak/?id=regin
https://www.kaspersky.it/blog/regin-la-campagna-apt-piu-sofisticata/5306/
https://securityaffairs.co/wordpress/87707/breaking-news/regin-spyware-yandex.html
https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX
Nessun commento:
Posta un commento