Sicurezza

Il mega malware Regin è opera delle agenzie di spionaggio?

Il malware Regin è opera del gruppo Five Eyes, vale a dire l'alleanza per lo spionaggio costituita da Stati Uniti, Regno Unito, Canada, Nuova Zelanda e Australia. A lanciare l'accusa è Kaspersky, che dà così seguito alla scoperta di Regin da parte di Symantec nel novembre 2014.

Costin Raiu e Igor Soumenkov di Kaspersky hanno infatti analizzato un malware noto come QWERTY e individuato una somiglianza quasi perfetta con Regin, arrivando alla conclusione che il codice è stato prodotto da Five Eyes. "Considerando l'estrema complessità di Regin e le scarse possibilità che qualcuno lo possa riprodurre senza avere accesso al codice sorgente, la nostra conclusione è che gli sviluppatori di QWERTY e quelli di Regin sono gli stessi oppure lavorano insieme", hanno affermato i due ricercatori.

Regin, distribuzione geografica delle vittime

Regin, distribuzione geografica delle vittime (Kaspersky)

La conclusione (ipotetica) è quindi che Regin sia opera delle cinque nazioni che costituiscono Five Eyes, ma per il momento nessuna delle agenzie governative coinvolte ha rilasciato commenti a riguardo – né è lecito pensare che lo faranno in futuro.

A rafforzare la convinzione che Regin sia opera di Five Eyes, e in particolare dell'australiana ASD (Australian Signals Directorate) si aggiunge la lunga analisi pubblicata da Claudio Guarnieri, che ha collaborato in passato all'esame di documenti riservati con The Intercept e Der Spiegel. Il ricercatore aggiunge che QWERTY è di fatto un modulo di WARRIORPRIDE – quest'ultimo è probabilmente un altro nome di Regin.

Guarnieri è comunque piuttosto cauto, e sottolinea come attribuire un malware a questa o quell'agenzia in modo definitivo sia un compito particolarmente difficile. L'analisi di Regin ci ha portati più vicini che mai, molto più di quanto si era riusciti a fare con Stuxnet, Duqu o Flame ma, commenta Guarnieri, "non siamo ancora in grado di distinguere un membro di Five Eyes dagli altri come unico responsabile di un attacco".

"A questo punto", conclude Guarnieri, "molto di ciò che sappiamo è in gran parte speculazione. È imperativo che la comunità tecnica continui ad analizzare le informazioni a nostra disposizione, unisca i puntini e riempia gli spazi bianchi. Condividete ciò che avete, pubblicate quel che sapete. Non tiratevi indietro".