“Regin”, il malware che spia i computer dal 2008. Il più complesso attacco di sempre

È in funzione dal 2008: si chiama Regin ed è forse il malware più complesso di sempre che ha spiato i computer per interi anni. Lo hanno scoperto i i ricercatori Symantec negli scorsi giorni.
Un trojan avrebbe attaccato gli internet provider di Russia e Arabia Saudita addirittura a partire dal 2008. È stato chiamato “Regin” e sarebbe stato disegnato in modo intelligente per spiare computer in tutto il mondo senza lasciare tracce. Persino quando i ricercatori hanno scoperto la presenza di questo malware sulle macchine dei clienti, hanno dovuto decriptare interi gruppi di file per arrivare a capire l’entità della minaccia.
Lo strumento di spionaggio è stato scoperto soprattutto in Russia e Arabia Saudita ma la presenza è stata registrata anche in Messico, Irlanda, India, Afghanistan, Iran, Belgio, Austria e Pakistan.
Gli attacchi erano rivolti nel 75% dei casi agli internet provider e alle compagnie telefoniche, condotti allo scopo di ottenere dati e informazioni. Sotto attacco anche compagnie aeree, fornitori di energia, agenzie di ricerca, aziende.
L’obiettivo di questo virus complesso infatti non era rubare gli accessi alla carte di credito ma quello di spiare i segreti di Stato in tutto il mondo. Secondo i ricercatori si tratta di qualcosa di simile a Stuxnet, il virus informatico creato e appositamente diffuso dal governo USA per sabotare il programma nucleate in Iran. Le nazioni che si crede oggi abbiano il know how necessario per sviluppare un malware di questa entità sono gli U.S.A, Israele e la Cina. Chiunque abbia prodotto Regin, ha creato uno strumento di cyber spionaggio altamente customizzabile, in grado di controllare schermi, tastiere, fare screenshot, registrare password e ripristinare file cancellati.
Ma le spie potevano adottare anche funzioni più specifiche. Ancora non è chiaro come funzioni questo malware, l’unico caso certo è quello di Yahoo Messenger di cui è stata verificata la vulnerabilità ma tutti i più comuni siti e applicazioni potrebbero essere stati coinvolti.
Sicuramente i primi attacchi risalgono al 2008 (se non al 2006), si sono fermati improvvisamente nel 2011 per poi riprendere nel 2013 con una versione aggiornata del trojan. Nei prossimi giorni si avranno maggiori dettagli.
C.C.