Traduttore automatico - Read this site in another language

martedì 16 luglio 2019

Regin, il RAT usato contro la "Google Russa" Yandex


Nel mondo della sicurezza informatica, i potenziali rischi ad aziende ed istituzioni, sotto forma di malware e toolkit sono numerosi e diffusi.
Gruppi di esperti, spesso sponsorizzati da governi a fini di monitoraggio e spionaggio combattono una guerra che di virtuale ha solo i mezzi con i quali viene combattuta, ma dai risvolti più che tangibili, e di ciò ne è stata data la prova durante l’attacco all’Iran attraverso il malware Stuxnet (vedi articolo http://www.difesaonline.it/evidenza/cyber/la-guerra-segreta-degli-hacker-equation-group-il-braccio-armato-cyber).
Sempre dai creatori di Stuxnet, ossia dal gruppo di spionaggio informatico collegato alla NSA ( National Security Agency), si suppone provenga uno dei toolkit più complessi e potenti degli ultimi anni, il cosiddetto Regin.
Regin è categorizzato come un RAT (Renote Access Trojan), fu scoperto da varie compagnie di sicurezza informatica quali la Kaspersky labs e Symantec nell’autunno del 2013 anche se era presente e attivo ben da prima. 
Il primo utilizzo di Regin è datato 2008 con la sua versione 1.0, attiva fino al 2011.
Nel 2013 ritorna con una nuova versione 2.0 anche se si è speculato su possibili versioni intermedie attive durante questi due anni di pausa.
Ciò che rende speciale questo software è l’incredibile capacità di essere adattato al bersaglio preso di mira, spesso Istituzioni e compagnie. Regin ha colpito in larga percentuale Internet Service Providers e Telco situate prevalentemente in Russia e Arabia Saudita, ma ha arrecato problemi anche ad istituzioni e compagnie Europee.
Ma come fa Regin ad essere così efficace, come viene usato per appropriarsi di informazioni sensibili?
Regin presenta varie funzionalità, principalmente utilizzato per monitorare e rubare informazioni quali passwords e qualunque tipo di file, scattare screenshot, prendere il controllo di funzionalità di mouse e tastiera, monitorare il traffico di dati in una rete ecc.
L’architettura del software è complessa e modulare, divisa in 6 stadi. Di seguito per chi vuole approfondire ecco il link al documento Symantec che spiega in dettaglio l’architettura del framework con riferimenti alla tipologia di encrypting e i protocolli usati: https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/regin-top-tier-espionage-tool-15-en.pdf .
I vettori di infezione di Regin non sono chiari proprio a causa della sua possibilità di essere adattato a bersagli diversi in situazioni diverse. In un caso il vettore di infezione è stata l’applicazione Yahoo!instant messenger, in altri casi usb infette.
L’attività di Regin non si ferma ai soli anni 2008-2011 e 2013-2014 ma va avanti fino ai giorni nostri, con un ultimo grande attacco perpetrato ai danni del gigante Russo Yandex a fine 2018.
Tuttora non si possiedono tutte le informazioni necessarie per combattere e identificare Regin, che riesce a rimanere inosservato per mesi in una rete prima di essere scoperto.
Questo ci fa capire la complessità del software e l’importanza che ricopre nell’ambiente dello spionaggio informatico, un ambiente che al giorno d’oggi più che mai è teatro di guerre che hanno il potere di influenzare compagnie, istituzioni ed intere nazioni.
Francesco Rugolo


https://www.symantec.com/it/it/outbreak/?id=regin

https://www.kaspersky.it/blog/regin-la-campagna-apt-piu-sofisticata/5306/

https://securityaffairs.co/wordpress/87707/breaking-news/regin-spyware-yandex.html

https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX

Nessun commento:

Posta un commento