Il trojan per Mac Crisis è malware da spie professioniste

Intego ha approfondito le proprie indagini su Crisis, un trojan per OS X rilevato la scorsa settimana. Si tratta di software molto avanzato, praticamente invisibile e progettato per colpire singoli. Sembra che in qualche modo sia implicata un'azienda italiana.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Crisis, il trojan per Mac  OS X comparso la settimana scorsa potrebbe essere derivato direttamente da un software di spionaggio professionale prodotto dalla società italiana Hacking Team, con sede a Milano. Ad affermarlo è Intego, la stessa azienda che aveva individuato il malware per la prima volta. Dall'azienda milanese tuttavia non sono giunte né conferme né smentite per ora.

Ciò che sappiamo è che Crisis è un software incredibilmente avanzato, capace di nascondersi tanto agli strumenti di OS X quanto ai più comuni software di sicurezza. Una volta attivato è in grado di monitorare Skype, MSN, Firefox, Safari e altri programmi, per poi spedire i dati raccolti al server di controllo in remoto. All'occorrenza può anche attivare la videocamera integrata.

Come si presenta un software di spionaggio professionale? Ovviamente con una doppia citazione

Potenzialmente quindi è molto pericoloso, tuttavia non è il tipo di malware che s'installa semplicemente cliccando sul link sbagliato. L'utente deve scaricare e avviare i pacchetti d'installazione, e quindi la potenziale spia deve guadagnarsi la sua fiducia per indurlo a cadere in trappola. Si tratta di un'attività nota come social engineering, lo strumento più potente nelle mani della criminalità digitale.

Non è una ragione per stare tranquilli, perché in passato abbiamo visto che basta un falso file d'installazione Flash o Java, mentre non ci sono praticamente difese contro gli attacchi mirati contro il singolo individuo, soprattutto se questo non ha un preparazione specifica. Insomma il social engineering è un'arma potente, da non prendere sottogamba.

Sembra che Crisis abbia almeno qualcosa in comune con Remote Control System Da Vinci (brochure in PDF), un software di spionaggio che l'italiana HackingTeam vende (soprattutto a governi ma anche a società private) per centinaia di migliaia di euro. La società al momento non ha rilasciato commenti sull'accaduto, e per ora la presenza di codice creato da Hacking Team dentro Crisis è ancora da dimostrare. Le informazioni raccolte in ogni caso fanno pensare a uno strumento creato per colpire o spiare qualcuno in particolare, non tanto progettato per un'infezione diffusa sui Mac di tutto il mondo. In ogni caso il software di Hacking Team è perfettamente in grado di "monitorare migliaia di utenti alla volta".

Migliaia di bersagli in un solo colpo, anche via smartphone

Vale la pena sottolineare che se si parla di software per lo spionaggio professionale come quelli prodotti da Hacking Team cade ogni discorso imbastito sulla solidità dei sistemi operativi. Con hacker professionisti al lavoro per colpire sistemi specifici non c'è OS X, Windows o Linux che possa reggere. L'ultima barriera è quella umana: i più esperti del settore sono (forse) un po' più difficili da far cadere in trappola, così come chi ha ricevuto una formazione specifica; ma se il bersaglio è ignaro o quasi del pericolo, sistema operativo, firewall o antivirus non fanno nessuna differenza. Proprio nessuna.