giovedì, 28 Marzo 2024

APS | Rivista di politica internazionale

giovedì, 28 Marzo 2024

"L'imparzialità è un sogno, la probità è un dovere"

Associazione di Promozione Sociale | Rivista di politica internazionale

Il malware Regin e la sicurezza internazionale

Miscela StrategicaMalware incredibilmente sofisticato, attivo dal 2003 in più di 14 Paesi, responsabile di attacchi digitali a numerose aziende nel settore delle telecomunicazioni ed enti governativi: ecco Regin, il più evoluto strumento di sorveglianza di massa conosciuto. Erede di Stuxnet e fratellastro di Flame e Duqu, sono stati necessari due anni di ricerche per intuirne il funzionamento. Chi l’ha creato? Quali sono i suoi obiettivi e scopi? Le informazioni a oggi rilasciate permettono di capire interessanti caratteristiche di sicurezza e guerra digitale a livello internazionale.

LA STRADA DELLA SCOPERTA – Primavera 2011, un attacco digitale alla Commissione europea si propaga silenzioso ai suoi numerosi sistemi, estendendosi fino ai network del Consiglio europeo.
2013, sempre Europa, ma l’obiettivo diventa Belgacom, la Telecom belga di proprietà parzialmente statale. Che cosa avrebbero in comune questi episodi? I due cyber attack sono stati perpetuati attraverso una piattaforma complessa, modulare, personalizzabile con innumerevoli applicazioni in base all’obiettivo prefissato e ai bisogni degli hacker stessi. Dopo due anni di ricerche, Microsoft, Symantec e Kaspersky Labs sono riusciti a identificare il malware Regin. Nonostante i creatori non siano stati menzionati, una preziosa informazione è stata resa pubblica: Regin è lo strumento di sorveglianza di massa più all’avanguardia finora scoperto. Analizzando la complessità del malware e le risorse necessarie per studio, progettazione e diffusione, è improbabile che i creatori siano organizzazioni criminali non governative, o semplici hacker. La pista più plausibile, dichiarata sia da Symantec che da Kaspersky Labs, resta quella statale. Regin sarebbe infatti stato creato da un Paese tecnologicamente avanzato, con grandi risorse monetarie e capacità digitali. 

PATERNITÀ E FUNZIONAMENTO – Da novembre 2014, mese della pubblicazione dei report dedicati al pericoloso malware, alcune tra le principali testate giornalistiche occidentali hanno tentato di scoprire l’identità dei creatori di Regin. The Intercept, The Wall Street Journal e Der Spiegel puntano il dito contro Gran Bretagna (Government Communications Headquarter, GCHQ) e Stati Uniti (NSA), ipotesi che sembrerebbero confermate da alcune rivelazioni di Edward Snowden. Teorie a parte, la prova schiacciante della paternità di Regin sarà difficilmente resa pubblica. Tuttavia, capirne funzionamento, obiettivi e diffusione geografica può essere un modo per intuire le implicazioni dei più moderni cyber tools in circolo, in particolar modo strumenti digitali utilizzati per cyber espionage, dal notevole impatto per le relazioni internazionali e la geopolitica del cyber spazio.
Regin utilizza un approccio modulare, scaricando applicazioni specifiche per colpire l’obiettivo designato. Il malware permette quindi uno spionaggio personalizzato, in costante evoluzione, più specifico ed efficace. È lo strumento ideale per operazioni di sorveglianza di lungo temine. Regin è una piattaforma a più livelli, ognuno dei quali viene nascosto e codificato. La struttura ha cinque fasi, e l’avvio della fase 1 attiva un effetto domino che porta al compimento quasi automatico di tutti i passaggi. Come i singoli tasselli di un puzzle, oltre a essere difficilmente riconducibili al disegno finale, le fasi individuali non lasciano trapelare nessuna informazione sulla potenzialità della minaccia totale. Inoltre, Regin possiede sistemi di protezione tali da impedire l’individuazione del proprio operato persino quando la sua presenza è stato identificata nel network colpito. A differenza di Stuxnet, messo in circolo da una semplice chiavetta USB, non è ancora chiaro quale meccanismo dia il via all’infezione. Regin può fare screenshots, controllare le funzioni del mouse, ripristinare file cancellati, monitorare il traffico dati e la memoria del sistema colpito: l’inizio della fase 1 (driver) rende praticamente impossibile bloccare il propagarsi dell’infezione.

http://gty.im/171316994

OBIETTIVI STRATEGICI E DIFFUSIONE GEOGRAFICA – Dal 2003 a oggi Regin ha colpito:

  • Operatori e aziende delle telecomunicazioni e del settore energetico
  • Ospedali e compagnie aeree
  • Istituzioni governative
  • Organizzazioni internazionali
  • Istituzioni finanziarie
  • Istituti di ricerca

Questa la prima metà delle vittime finora riscontrate. Il restante 50% degli attacchi è stato invece rivolto a privati e piccole imprese, in particolare individui coinvolti in ricerche avanzate di codificazione e matematica (come il celebre attacco a Jean Jacques Quisquater). L’obiettivo? Non il mero furto di password o identità digitali a scopi di lucro, come farebbero i più comuni cyber criminals. Regin è talmente sofisticato che utilizzarlo a tali scopi sarebbe uno spreco. Il suo vero fine è ben più appropriato alla complessità del malware: raccogliere informazioni sensibili e riservate e facilitare altri tipi di attacchi (non diversamente specificati).
I Paesi più colpiti da Regin sono indubbiamente Russia (28%) e Arabia Saudita (24%), seguiti da Messico, Irlanda, India, Pakistan, Algeria, Malaysia, Iran, Fiji, Kiribati, Indonesia, Belgio, Siria, Germania e Brasile. Il malware sembra aver risparmiato i 5 grandi Paesi anglosassoni: Stati Uniti, Gran Bretagna, Nuova Zelanda, Canada e Australia.

IMPLICAZIONI E POTENZIALITÀ – L’impossibilità di identificare la presenza di Regin nel sistema e di individuare le operazioni di cyber espionage in atto rendono praticamente nullo qualsiasi tipo di difesa. Regin è l’arma digitale perfetta: invisibile, efficace e in evoluzione.
L’infezione più elaborata rivelata da Kaspersky è quella ai danni dell’India. Regin avrebbe colpito una rete di network, in seguito uniti tra loro tramite l’utilizzo di communication drones. Nel caso specifico, il malware avrebbe colpito, infettato e collegato le reti dell’ufficio del Presidente indiano con i network di diversi istituti di ricerca, banche e altri enti, fino alla creazione di un network peer-to-peer. All’atto pratico un singolo meccanismo di controllo per monitorare i network di un Paese intero. In aggiunta, translation drones (droni di traduzione) vengono utilizzati per inoltrare le informazioni raccolte a un Paese/ente terzo. Tale meccanismo di Comando-e-Controllo (C2) di Regin è stato studiato per restare costantemente nell’ombra e non destare sospetti.
Il secondo grande attacco ha colpito i network GSM di una TELECOM mediorientale attraverso il furto di credenziali di uno degli amministratori della stazione base. A oggi non è ancora possibile identificare quali delle centinaia di comandi mandati alla base sia stato originato da Regin, e quale dagli amministratori stessi. Le reti GSM sono target dalla non trascurabile importanza. L’abilità di penetrare e monitorar network GSM è probabilmente l’aspetto più inusuale e interessante delle operazioni condotta da Regin, specialmente in un mondo sempre più dipendente dalla telefonia mobile. Colpire i network di un fornitore di telecomunicazioni permette di controllare il traffico in entrata e uscita dello stesso: strumento prezioso quando lo scopo dell’attacco è raccogliere informazioni riservate.

Embed from Getty Images

CONCLUSIONI – Regin è una piattaforma per propagare, monitorare e coordinare attacchi digitali di diverso tipo (da raccolta informazioni a sabotaggi). Attraverso questo malware gli intrusori penetrano nei network della vittima per avere il controllo remoto di ogni possibile livello della rete. La scoperta di Regin dimostra l’importanza degli investimenti fatti nello sviluppo di strumenti per intelligence gathering, raccolta d’informazioni sensibili. È plausibile che molti aspetti e caratteristiche di Regin siano tuttora sconosciuti, e la ricerca in tal senso continua.
La scoperta di malware come Regin, creati da Stati per ottenere informazioni confidenziali e coordinare attacchi, può verosimilmente portare a una nuova corsa agli armamenti. Tale dinamica non sarebbe però soggetta ad accordi internazionali.
Regolamenti condivisi a livello internazionale per governare la cyberwarfare restano tuttora da implementare, se non addirittura da immaginare. Il cyberspazio è ancora un dominio senza controllo, leggi, confini e limiti. Regin è solo la più recente dimostrazione che la cyber security è un processo “in potenza”, dallo sviluppo troppo veloce per essere effettivamente “in atto”. Regin 2.0 potrebbe già essere in circolo.

Patrizia Rizzini Cancarini

[box type=”shadow” ]Un chicco in più

Per chi volesse approfondire alcuni dei temi trattati consigliamo, sulle nostre pagine:

[/box]

Foto: IntelFreePress

Dove si trova

Perchè è importante

Vuoi di più? Iscriviti!

Scopri che cosa puoi avere in più iscrivendoti

Patrizia Rizzini Cancarini
Patrizia Rizzini Cancarini

Dal 2009, anno della prima esperienza negli States, una piccola costante è rimasta impressa nel mio DNA: il bisogno di partire, scoprire ed esplorare. Dopo la triennale in Scienze Linguistiche presso l’Università Cattolica di Brescia, la destinazione è stata la Beijing Language and Culture University per un intenso e indimenticabile semestre. Tornata in patria per iscrivermi al Master in European and International Studies presso l’Università di Trento, nel 2012 sono partita come Head Delegate per il New York Model United Nations e come Exchange Student presso la Zhejiang University ad Hangzhou. Dopo la partecipazione alla 5’ European Public Policy Conference a Parigi e un tirocinio al Centro Europeo Jean Monnet a Trento, quale sarà la mia prossima meta? Fresca di laurea e con tante idee nel cassetto, mi tengo attiva con gli oldies e newbies della mia vita: l’amore per l’Asia e gli States, il cibo etnico e le feste a tema, oltre che un profondo interesse per tutto ciò che ‘puzza’ di nuovo, dai non-traditional security studies all’e-diplomacy.

Ti potrebbe interessare