Scoperto Regin, il trojan che ci spia dal 2008

Un trojan ci spia dal 2008: liberissimo di agire e invisibile agli antivirus, Regin è il nuovo pericolo alla sicurezza degli utenti nella rete scoperto da Symantec. Ecco cos'è e come funziona.

di Daniele Sforza, pubblicato il
Un trojan ci spia dal 2008: liberissimo di agire e invisibile agli antivirus, Regin è il nuovo pericolo alla sicurezza degli utenti nella rete scoperto da Symantec. Ecco cos'è e come funziona.

Secondo il mito di Omero, i greci, per vincere la guerra contro i troiani, finsero di arrendersi e partire e si nascosero in una scultura di legno, un cavallo che i troiani – a parte il povero Laocoonte – credettero essere un omaggio degli dei. Dopo una notte di festeggiamenti, con i troiani ebbri e assonnati, il cavallo di legno partorì quello che in realtà nascondeva: i soldati greci uscirono dalla scultura e distrussero la città, vincendo così la guerra. Ecco cos’è un trojan. Ecco come funziona nell’era moderna. Symantec ne ha appena scoperto uno che si chiama Regin ed è così sofisticato che nessuno l’aveva scoperto. Regin opera infatti dal 2008 e risalire a esso è stata un’operazione piuttosto complicata.  

Dove ha agito Regin

In grado di spiare i computer di tutti, Regin è stato operativo prevalentemente in alcuni Paesi: tra questi spiccano la Russia (28%), l’Arabia Saudita (24%), e poi a seguire Messico, Irlanda, India, Afghanistan, Pakistan, Iran, Belgio e Austria. Esso ha agito indisturbato soprattutto sui provider di servizi internet (48%) e sulle dorsali di telecomunicazioni (28%), rubando informazioni specialmente nei settori accoglienza e ospitalità, energetico e in quello delle compagnie aeree.  

Come funziona Regin

La struttura di Regin è così complessa che sembra quasi essere l’opera di un’intelligence governativa: infatti, non è ancora noto chi ha ideato e sviluppato Regin e chi ci sia dietro. L’unica cosa certa è che Regin è molto sofisticato perché la sua struttura funziona come una sorta di scatole cinesi, una serie di fasi le quali, partita la prima, seguono tutte le altre come un effetto domino. I moduli attivati sono crittografati e riescono a sfuggire facilmente ai controlli degli antivirus e antimalware, mentre quelli più efficaci e aggressivi operano direttamente sul sistema operativo del PC. Regin non può essere perciò visto né monitorato dai software antivirus, anche quelli più complessi, e ciò lo rende invisibile e liberissimo di agire – esattamente dal 2008.   Regin funziona attraverso screenshot delle schermate degli utenti dei PC infetti, agendo sul traffico internet, rubando informazioni relative alla carta di credito dopo una transazione online, rubando password, accedendo ai file presenti sul disco, recuperando perfino i file cancellati dall’hard disk. Eppure, da chi e come è stato messo ancora non si sa: si suppone che Regin abbia sfruttato su alcuni PC una falla nel programma Yahoo! Messenger, ma l’impressione generale è che Regin abbia funzionato autonomamente in modo diverso per ogni singolo e specifico caso. La complessità del meccanismo di Regin fa pensare tuttavia che dietro la sua realizzazione ci siano stati anni di lavoro: per questo motivo l’origine del trojan è quasi scontata.  

Regin: non tutto è chiaro

Secondo il rapporto stilato da Symantec, inoltre, la versione di Regin che ha avviato la sua prima fase dal 2008 è stata ritirata nel 2011: tuttavia, la sua presenza sui PC si è resa ancora possibile, ed è proprio a causa di queste informazioni, dovute probabilmente a una mancata rimozione completa del virus, che Symantec ha rilevato i pericoli di Regin. Inoltre, Regin potrebbe essere ancora attivo, ma solo nella sua seconda fase e attualmente non sarebbe stato ancora rilevato. Su questo non è possibile essere certi, perché in verità, come spiega la stessa Symantec, su Regin sono ancora numerosi gli spazi vuoti da colmare.

Condividi su
flipboard icon
Seguici su
flipboard icon
Argomenti: Sicurezza

I commenti sono chiusi.