histats
Home - Temi - Miscela strategica - Cyber warfare - Il malware Regin e la sicurezza internazionale

Il malware Regin e la sicurezza internazionale

Miscela StrategicaMalware incredibilmente sofisticato, attivo dal 2003 in più di 14 Paesi, responsabile di attacchi digitali a numerose aziende nel settore delle telecomunicazioni ed enti governativi: ecco Regin, il più evoluto strumento di sorveglianza di massa conosciuto. Erede di Stuxnet e fratellastro di Flame e Duqu, sono stati necessari due anni di ricerche per intuirne il funzionamento. Chi l’ha creato? Quali sono i suoi obiettivi e scopi? Le informazioni a oggi rilasciate permettono di capire interessanti caratteristiche di sicurezza e guerra digitale a livello internazionale.

LA STRADA DELLA SCOPERTA – Primavera 2011, un attacco digitale alla Commissione europea si propaga silenzioso ai suoi numerosi sistemi, estendendosi fino ai network del Consiglio europeo.
2013, sempre Europa, ma l’obiettivo diventa Belgacom, la Telecom belga di proprietà parzialmente statale. Che cosa avrebbero in comune questi episodi? I due cyber attack sono stati perpetuati attraverso una piattaforma complessa, modulare, personalizzabile con innumerevoli applicazioni in base all’obiettivo prefissato e ai bisogni degli hacker stessi. Dopo due anni di ricerche, Microsoft, Symantec e Kaspersky Labs sono riusciti a identificare il malware Regin. Nonostante i creatori non siano stati menzionati, una preziosa informazione è stata resa pubblica: Regin è lo strumento di sorveglianza di massa più all’avanguardia finora scoperto. Analizzando la complessità del malware e le risorse necessarie per studio, progettazione e diffusione, è improbabile che i creatori siano organizzazioni criminali non governative, o semplici hacker. La pista più plausibile, dichiarata sia da Symantec che da Kaspersky Labs, resta quella statale. Regin sarebbe infatti stato creato da un Paese tecnologicamente avanzato, con grandi risorse monetarie e capacità digitali. 

PATERNITÀ E FUNZIONAMENTO – Da novembre 2014, mese della pubblicazione dei report dedicati al pericoloso malware, alcune tra le principali testate giornalistiche occidentali hanno tentato di scoprire l’identità dei creatori di Regin. The Intercept, The Wall Street Journal e Der Spiegel puntano il dito contro Gran Bretagna (Government Communications Headquarter, GCHQ) e Stati Uniti (NSA), ipotesi che sembrerebbero confermate da alcune rivelazioni di Edward Snowden. Teorie a parte, la prova schiacciante della paternità di Regin sarà difficilmente resa pubblica. Tuttavia, capirne funzionamento, obiettivi e diffusione geografica può essere un modo per intuire le implicazioni dei più moderni cyber tools in circolo, in particolar modo strumenti digitali utilizzati per cyber espionage, dal notevole impatto per le relazioni internazionali e la geopolitica del cyber spazio.
Regin utilizza un approccio modulare, scaricando applicazioni specifiche per colpire l’obiettivo designato. Il malware permette quindi uno spionaggio personalizzato, in costante evoluzione, più specifico ed efficace. È lo strumento ideale per operazioni di sorveglianza di lungo temine. Regin è una piattaforma a più livelli, ognuno dei quali viene nascosto e codificato. La struttura ha cinque fasi, e l’avvio della fase 1 attiva un effetto domino che porta al compimento quasi automatico di tutti i passaggi. Come i singoli tasselli di un puzzle, oltre a essere difficilmente riconducibili al disegno finale, le fasi individuali non lasciano trapelare nessuna informazione sulla potenzialità della minaccia totale. Inoltre, Regin possiede sistemi di protezione tali da impedire l’individuazione del proprio operato persino quando la sua presenza è stato identificata nel network colpito. A differenza di Stuxnet, messo in circolo da una semplice chiavetta USB, non è ancora chiaro quale meccanismo dia il via all’infezione. Regin può fare screenshots, controllare le funzioni del mouse, ripristinare file cancellati, monitorare il traffico dati e la memoria del sistema colpito: l’inizio della fase 1 (driver) rende praticamente impossibile bloccare il propagarsi dell’infezione.

OBIETTIVI STRATEGICI E DIFFUSIONE GEOGRAFICA – Dal 2003 a oggi Regin ha colpito:

  • Operatori e aziende delle telecomunicazioni e del settore energetico
  • Ospedali e compagnie aeree
  • Istituzioni governative
  • Organizzazioni internazionali
  • Istituzioni finanziarie
  • Istituti di ricerca

Questa la prima metà delle vittime finora riscontrate. Il restante 50% degli attacchi è stato invece rivolto a privati e piccole imprese, in particolare individui coinvolti in ricerche avanzate di codificazione e matematica (come il celebre attacco a Jean Jacques Quisquater). L’obiettivo? Non il mero furto di password o identità digitali a scopi di lucro, come farebbero i più comuni cyber criminals. Regin è talmente sofisticato che utilizzarlo a tali scopi sarebbe uno spreco. Il suo vero fine è ben più appropriato alla complessità del malware: raccogliere informazioni sensibili e riservate e facilitare altri tipi di attacchi (non diversamente specificati).
I Paesi più colpiti da Regin sono indubbiamente Russia (28%) e Arabia Saudita (24%), seguiti da Messico, Irlanda, India, Pakistan, Algeria, Malaysia, Iran, Fiji, Kiribati, Indonesia, Belgio, Siria, Germania e Brasile. Il malware sembra aver risparmiato i 5 grandi Paesi anglosassoni: Stati Uniti, Gran Bretagna, Nuova Zelanda, Canada e Australia.

IMPLICAZIONI E POTENZIALITÀ – L’impossibilità di identificare la presenza di Regin nel sistema e di individuare le operazioni di cyber espionage in atto rendono praticamente nullo qualsiasi tipo di difesa. Regin è l’arma digitale perfetta: invisibile, efficace e in evoluzione.
L’infezione più elaborata rivelata da Kaspersky è quella ai danni dell’India. Regin avrebbe colpito una rete di network, in seguito uniti tra loro tramite l’utilizzo di communication drones. Nel caso specifico, il malware avrebbe colpito, infettato e collegato le reti dell’ufficio del Presidente indiano con i network di diversi istituti di ricerca, banche e altri enti, fino alla creazione di un network peer-to-peer. All’atto pratico un singolo meccanismo di controllo per monitorare i network di un Paese intero. In aggiunta, translation drones (droni di traduzione) vengono utilizzati per inoltrare le informazioni raccolte a un Paese/ente terzo. Tale meccanismo di Comando-e-Controllo (C2) di Regin è stato studiato per restare costantemente nell’ombra e non destare sospetti.
Il secondo grande attacco ha colpito i network GSM di una TELECOM mediorientale attraverso il furto di credenziali di uno degli amministratori della stazione base. A oggi non è ancora possibile identificare quali delle centinaia di comandi mandati alla base sia stato originato da Regin, e quale dagli amministratori stessi. Le reti GSM sono target dalla non trascurabile importanza. L’abilità di penetrare e monitorar network GSM è probabilmente l’aspetto più inusuale e interessante delle operazioni condotta da Regin, specialmente in un mondo sempre più dipendente dalla telefonia mobile. Colpire i network di un fornitore di telecomunicazioni permette di controllare il traffico in entrata e uscita dello stesso: strumento prezioso quando lo scopo dell’attacco è raccogliere informazioni riservate.

CONCLUSIONI – Regin è una piattaforma per propagare, monitorare e coordinare attacchi digitali di diverso tipo (da raccolta informazioni a sabotaggi). Attraverso questo malware gli intrusori penetrano nei network della vittima per avere il controllo remoto di ogni possibile livello della rete. La scoperta di Regin dimostra l’importanza degli investimenti fatti nello sviluppo di strumenti per intelligence gathering, raccolta d’informazioni sensibili. È plausibile che molti aspetti e caratteristiche di Regin siano tuttora sconosciuti, e la ricerca in tal senso continua.
La scoperta di malware come Regin, creati da Stati per ottenere informazioni confidenziali e coordinare attacchi, può verosimilmente portare a una nuova corsa agli armamenti. Tale dinamica non sarebbe però soggetta ad accordi internazionali.
Regolamenti condivisi a livello internazionale per governare la cyberwarfare restano tuttora da implementare, se non addirittura da immaginare. Il cyberspazio è ancora un dominio senza controllo, leggi, confini e limiti. Regin è solo la più recente dimostrazione che la cyber security è un processo “in potenza”, dallo sviluppo troppo veloce per essere effettivamente “in atto”. Regin 2.0 potrebbe già essere in circolo.

Patrizia Rizzini Cancarini

Foto: IntelFreePress

Un commento

  1. Simone Pelizza

    ” Regin sarebbe infatti stato creato da un Paese tecnologicamente avanzato, con grandi risorse monetarie e capacità digitali. ” Un nome a caso – USA…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *