Trojan Regin per lo spionaggio globale, chi c'è dietro?

Symantec ha individuato un trojan chiamato Regin. È un malware molto potente ed evoluto, che solo uno stato può aver finanziato.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Gli esperti di Symantec hanno scoperto uno strumento di spionaggio avanzatissimo che negli ultimi anni, dal 2008 al 2011, ha colpito governi, istituzioni e aziende in tutto il mondo. Si chiama Regin ed è un trojan molto complesso che mostra "un raro livello di competenza tecnica".

"Personalizzabile con una grande varietà di capacità", si legge sul comunicato di Symantec, "offre agli operatori un potente ambiente operativo per la sorveglianza di massa". I ricercatori affermano che almeno uno stato stia usando Regin come uno dei principali strumenti di cyberspionaggio.

Regin trojan horse

Tecnicamente Regin è una minaccia "multi-livello, con ogni livello nascosto e crittografato a eccezione del primo". Quando quest'ultimo viene avviato si innesca una "reazione a catena" che attiva gli altri componenti del malware. Una volta attivo la sua modularità permette all'operatore di caricare funzioni specifiche pensate per il bersaglio.

Kaspersky Lab Anti-Virus 2014 Kaspersky Lab Anti-Virus 2014
Panda Antivirus Pro 2014 Panda Antivirus Pro 2014
Symantec Norton AntiVirus 2014 Symantec Norton AntiVirus 2014

L'analisi tecnica di Symantec è un documento piuttosto corposo: dopo aver infettato una macchina infatti Regin dà all'operatore molte possibilità: può prendere schermate, sostituirsi al mouse, rubare password, monitorare il traffico di rete, recuperare file cancellati e altro. Regin si fa notare anche per le avanzate capacità di occultamento: tecniche antiforensi, crittografia, comandi trasmessi tramite cookie, protocolli TCP e UDP personalizzati. Tecniche, queste, che possono mantenerlo operativo anche molti anni senza che nessuno se ne accorga.

Analisi Symantec diffusione trojan Regin

Regin era scomparso improvvisamente nel 2011, per poi ricomparire in una nuova veste nel 2013. Circa la metà delle infezioni riguardano singoli individui e piccole aziende, probabilmente per spionaggio industriale, mentre l'attacco alle telco sembra indirizzato a registrare chiamate e intercettare messaggi. Quanto alla diffusione geografica i due paesi più colpiti sono la Russia (28%) e l'Arabia Saudita (24%), seguiti da Messico, Irlanda, India, Afghanistan, Iran, Belgio, Austria e Pakistan. I veicoli di attacco sono quelli noti: siti confezionati ad hoc per sembrare autentici, siti legittimi infettati, vulnerabilità nel browser o in un'applicazione.

Analisi Symantec settori colpiti trojan Regin

Tutto considerato Regin ha tutte le caratteristiche di cyberarmi come Stuxnet, Duqu, Flame altri malware di alto livello che si sono resi famosi negli ultimi anni. Ecco perché gli esperti di Symantec sono persuasi che ancora una volta si tratti di un software sviluppato e usato da uno stato: resta da capire chi c'è dietro. Secondo voi?