Symantec svela l'esistenza di un trojan estremamente complesso, con un meccanismo di funzionamento multi-stadio ed evidentemente pensato per campagne di infezione mirate. Chi l'ha scritto? E chi l'ha commissionato?
Regin è un trojan con funzionalità da backdoor, spiega Symantec, inizialmente attivo fra il 2008 e il 2011 e poi ritornato alla carica, con una nuova versione, nel dicembre del 2013. Per complessità e pericolosità, il malware si posiziona nella stessa categoria di "cyber-armamenti" ben noti come Stuxnet, Flame e Duqu.
Il codice di Regin è suddiviso in cinque stadi diversi, tutti cifrati tranne il primo così da rendere difficile l'opera di analisi da parte dei ricercatori di sicurezza: per capire il funzionamento del malware occorre ottenere tutti e cinque le sue fasi operative.
Symantec stima in mesi o anni il lavoro necessario a sviluppare una minaccia complessa come Regin, un "framework" che contiene centinaia di payload variamente indirizzati a rubare password, catturare screenshot, intercettare le comunicazioni di rete, "infettare" il mouse collegato al computer, ripristinare i file cancellati dal sistema e altro ancora. Eppure, nonostante la complessità del codice, Symantec ha individuato appena un centinaio di infezioni riconducibili al malware: tra le macchine infette risultano presenti alcuni provider Internet e fornitori di connessioni "backbone" alla rete telematica, con Symantec che spiega tale circostanza con la necessità, per i "pupari" di Regin, di mettere sotto intercettazioni le comunicazioni di un particolare individuo che faceva uso delle infrastrutture infette.
[...]
Leggi l'articolo completo di Alfonso Maruccia
Fonte: punto-informatico.it
