A+ A A-
  • Categoria: Attualità

Dopo Stuxnet, ricompare Regin il sofisticato malware che ci spia.

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
 

Symantec ha reso noto, nel mese di novembre 2014, in un nuovo whitepaper tecnico il riapparire di Regin, il malware di spionaggio forse lo strumento utilizzato da un’agenzia di intelligence occidentale.

Regin è stato identificato alla fine del 2013, ma era diffuso almeno dal 2008. Regin è una minaccia altamente complessa e pare sia stato spesso utilizzato in campagne sistematiche di raccolta dati o di raccolta di informazioni. Lo sviluppo e il funzionamento di questo malware avrebbero richiesto un notevole investimento di tempo e risorse, che indica che uno Stato nazionale è responsabile.

Le principali vittime di cui si ha conoscenza sono privati, piccole imprese ed aziende di telecomunicazioni. Il virus Regin (uno strumento di raccolta di dati multi-purpose mirati) è stato paragonato al virus Stuxnet e si pensa che entrambi siano stati sviluppati da gruppi dotati di ingenti risorse di sviluppatori, forse un governo occidentale.

Regin è un complesso malware la cui struttura mostra un grado di competenza tecnica raramente visto.

Backdoor.Regin è una minaccia multi-scena e ogni fase è nascosta e criptata, con l'eccezione della prima fase.

All'esecuzione della prima fase inizia una catena domino di decrittografia e carico di ogni fase successiva per un totale di cinque fasi. Ad ogni fase il codice virale fornisce poche informazioni sul pacchetto completo, solo con l'acquisizione di tutte e cinque le fasi è possibile analizzare e comprendere la minaccia.

Sotto un profilo tecnico, Regin è quindi un vero capolavoro, ha infatti una struttura a "scatole cinesi" composta da moduli che si attivano in sequenza. Ognuno di questi è crittografato per sfuggire al controllo degli antivirus e i più aggressivi operano a livello del Kernel, il "cuore" del sistema operativo.

Regin inoltre utilizza un approccio modulare che consente di caricare le funzioni personalizzate su misura per il target. Questo approccio modulare è stato visto in altre sofisticate famiglie di malware, come Weevil (The Mask), mentre il tipo di architettura multi-fase è simile a quello visto nella famiglia di minacce Duqu / Stuxnet il programma che 'boicottò' il programma nucleare iraniano.

Quali sono le possibilità di offesa di Regin.

Le capacità standard di spionaggio del malware Regin sono diverse:

  • Accesso con Trojan (RAT);
  • registrazione di tutto ciò che viene digitato sulla tastiera;
  • funzioni remote, come catturare screenshot, per prendere il controllo delle funzioni di point-and-click del mouse;
  • furto delle password;
  • monitoraggio ed ikntercettazione del traffico di rete; recuperare dei file cancellati in modo non definitivo;
  • monitor del traffico web di server Microsoft IIS;
  • uno sniffer del traffico della telefonia mobile.

Regin è praticamente invisibile. Ha infatti diverse caratteristiche "stealth" per cercare di passare inosservato ai controlli di sicurezza e degli antivirus:

  • funzionalità anti-forense;
  • un file system virtuale criptato su misura (EVFS);
  • crittografia alternativa sotto forma di una variante di RC5.

Regin utilizza più mezzi sofisticati per comunicare segretamente con l'attaccante anche attraverso ICMP / ping, incorporando comandi cookie HTTP, e protocolli TCP e UDP personalizzati.

Il trojan Regin può essere aggiornato a distanza per aggiungere nuove funzioni o adattarlo a nuove esigenze dando agli 007 la possibilità di scegliere il metodo migliore di diffusione caso per caso, confezionando un attacco su misura per i singoli bersagli.

Quello che è certo è che gli sviluppatori hanno dedicato a Regin un notevole sforzo di programmazione per renderlo efficace e poco appariscente. Ciò significa che può potenzialmente essere utilizzato nelle campagne di spionaggio della durata di diversi anni perchè, anche quando viene rilevata la sua presenza, è molto difficile stabilire cosa stia facendo.

Symantec è in grado di analizzare i comportamenti del virus ma ritiene che molti componenti di Regin contengano funzionalità ancora da scoprire e, addirittura, possano esisterne versioni ulteriori ancora non individuate. In ogni caso Symantec pubblicherà tutti gli aggiornamenti sulle future scoperte

.... Basta un attimo ... per cambiare la tua vita e quella di chi ti vuole bene.

Sii prudente sempre ... Basta un attimo ... pensaci prima.

AutoInformazione.org è vicina alle vittime della strada ed ai loro familiari.