Nel mondo della sicurezza informatica, i potenziali rischi ad aziende ed istituzioni, sotto forma di malware e toolkit sono numerosi e diffusi.
Gruppi di esperti, spesso sponsorizzati da governi a fini di monitoraggio e spionaggio, combattono una guerra che di virtuale ha solo i mezzi con i quali viene combattuta ma dai risvolti più che tangibili. Di ciò ne è stata data la prova durante l’attacco all’Iran attraverso il malware Stuxnet (v.articolo).
Sempre dai creatori di Stuxnet, ossia dal gruppo di spionaggio informatico collegato alla NSA ( National Security Agency), si suppone provenga uno dei toolkit più complessi e potenti degli ultimi anni, il cosiddetto Regin.
Regin è categorizzato come un RAT (Remote Access Trojan), fu scoperto da varie compagnie di sicurezza informatica quali la Kaspersky labs e Symantec nell’autunno del 2013 anche se era presente e attivo ben da prima.
Il primo utilizzo di Regin è datato 2008 con la sua versione 1.0, attiva fino al 2011. Nel 2013 ritorna con una nuova versione 2.0 anche se si è speculato su possibili versioni intermedie attive durante questi due anni di pausa.
Ciò che rende speciale questo software è l’incredibile capacità di essere adattato al bersaglio preso di mira, spesso Istituzioni e compagnie. Regin ha colpito in larga percentuale Internet Service Providers e Telco situate prevalentemente in Russia e Arabia Saudita, ma ha arrecato problemi anche ad istituzioni e compagnie Europee.
Ma come fa Regin ad essere così efficace, come viene usato per appropriarsi di informazioni sensibili?
Regin presenta varie funzionalità, principalmente utilizzato per monitorare e rubare informazioni quali password e qualunque tipo di file, può scattare screenshot, prendere il controllo di funzionalità di mouse e tastiera, monitorare il traffico di dati in una rete ecc.
L’architettura del software è complessa e modulare, divisa in 6 stadi. Di seguito per chi vuole approfondire ecco il link al documento Symantec che spiega in dettaglio l’architettura del framework con riferimenti alla tipologia di encrypting e i protocolli usati (link).
I vettori di infezione di Regin non sono chiari proprio a causa della sua possibilità di essere adattato a bersagli diversi in situazioni diverse. In un caso il vettore di infezione è stata l’applicazione Yahoo! instant messenger, in altri casi usb infette.
L’attività di Regin non si ferma ai soli anni 2008-2011 e 2013-2014 ma va avanti fino ai giorni nostri, con un ultimo grande attacco perpetrato ai danni del gigante Russo Yandex a fine 2018.
Tuttora non si possiedono tutte le informazioni necessarie per combattere e identificare Regin, che riesce a rimanere inosservato per mesi in una rete prima di essere scoperto.
Questo ci fa capire la complessità del software e l’importanza che ricopre nell’ambiente dello spionaggio informatico, un ambiente che al giorno d’oggi più che mai è teatro di guerre che hanno il potere di influenzare compagnie, istituzioni ed intere nazioni.
Fonti:
https://www.symantec.com/it/it/outbreak/?id=regin
https://www.kaspersky.it/blog/regin-la-campagna-apt-piu-sofisticata/5306/
https://securityaffairs.co/wordpress/87707/breaking-news/regin-spyware-y...
https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX